CVE-2022-26923 Erkennung: Sicherheitslücke zur Privilegieneskalation in Active Directory-Domänen
Inhaltsverzeichnis:
Privilegienausnutzungsangriffe in Microsofts Windows Active Directory (AD) Domänenumgebungen erweitern ihren Umfang und nehmen an Umfang zu, um Millionen von Geräten ins Visier zu nehmen. Das Microsoft Security Response Center (MSRC) hat kürzlich Informationen zu Sicherheitslücken in den Produkten und Diensten des Unternehmens aktualisiert und hebt die neu entdeckte Active Directory Domain Services-Rechteerhöhungsschwachstelle hervor, die als CVE-2022–26923.
Erkennen Sie CVE-2022–26923
Um jede Manipulation am DnsHostName-Attribut durch ein Nicht-DC-Konto, das mit CVE-2022–26923-Exploits in Verbindung stehen könnte, nachzuvollziehen, verwenden Sie die Sigma Regel unten, bereitgestellt von dem engagierten Entwicklerteam von SOC Prime:
Mögliche Domänen-Privilegieneskalation [CVE-2022-26923] Ausnutzung (via Audit)
Die Erkennung steht für 17 SIEM-, EDR- und XDR-Plattformen zur Verfügung, ausgerichtet auf das neueste MITRE ATT&CK® Framework v.10, und adressiert die Taktiken Privilegieneskalation und Defense Evasion mit Exploitation for Privilege Escalation (T1068) und Valid Accounts (T1078) als die Haupttechniken.
Erstellen Sie Ihre eigenen Inhalte? Schließen Sie sich der weltweit größten Cyberverteidigungsgemeinschaft von über 23.000 SOC-Experten an, die durch das Threat Bounty Program unterstützt werden, und generieren Sie Einkommen, indem Sie Ihre Erkennungsinhalte teilen. Nutzen Sie die Kraft des weltweit größten Repositoriums von SIEM- und XDR-Algorithmen, um Ihnen zu helfen, mit der sich ständig weiterentwickelnden Bedrohungslage Schritt zu halten.
Erkennungen anzeigen Treten Sie dem Threat Bounty bei
CVE-2022–26923 Beschreibung
Die neu aufgedeckte Active Directory-Domänen-Privilegieneskalationsschwachstelle wurde noch nicht in freier Wildbahn ausgenutzt, dennoch weist ihr hoher CVSS-Wert von 8,8 auf ein hohes Risiko hin, das sie für die kompromittierten Systeme darstellt, indem sie es Angreifern ermöglicht, die Zertifikatausgabe zu missbrauchen. CVE-2022–26923 erlaubt die Manipulation des DnsHostName-Attributs, das den Computernamen angibt, wie er im DNS registriert ist, und ermöglicht es einem Gegner dann, ein Zertifikat von den AD-Zertifikatsdiensten zu erhalten, was möglicherweise zu einer Erhöhung der Privilegien führt.
Für die Abschwächung und Schutzmaßnahmen von CVE-2022–26923 empfiehlt Microsoft dringend, alle Server, die AD-Zertifikatsdienste und Windows-Domänencontroller ausführen, die zertifikatbasierte Authentifizierung verwenden, auf die neueste Version vom 10. Mai zu aktualisieren.
Das ständig wachsende Angriffsvolumen erfordert ultraschnelle Reaktionen von Cyber-Verteidigern, um rechtzeitig reagieren zu können, was durch die kollaborativen Bemühungen der globalen Cybersicherheitsgemeinschaft schneller und effizienter erreicht werden kann. Treten Sie bei SOC Primes Detection as Code-Plattform um zu sehen, wie die kollektive Expertise der führenden Cybersicherheitsexperten einen monolithischen Wissenskörper aufbaut, der Sicherheitsteams einen enormen Vorteil gegenüber Angreifern verschafft.
