Detección de CVE-2022-26923: Vulnerabilidad de Escalamiento de Privilegios en el Dominio de Active Directory

Los ataques de explotación de privilegios en los entornos de Dominio de Active Directory (AD) de Microsoft Windows están expandiendo su alcance y creciendo en escala para atacar millones de dispositivos. El Centro de Respuesta de Seguridad de Microsoft (MSRC) ha actualizado recientemente información sobre vulnerabilidades de seguridad que afectan a los productos y servicios de la compañía, destacando la vulnerabilidad de elevación de privilegios de Active Directory Domain Services recién descubierta y rastreada como CVE-2022–26923.

Detectar CVE-2022–26923

Para rastrear cualquier manipulación en el atributo DnsHostName por una cuenta no-DC que pueda estar relacionada con intentos de explotación de CVE-2022–26923, utilice la Sigma regla a continuación proporcionada por el equipo de desarrolladores dedicados de SOC Prime:

Posible Explotación de Escalación de Privilegios de Dominio [CVE-2022-26923] (vía auditoría)

La detección está disponible para las 17 plataformas SIEM, EDR y XDR, alineadas con el último marco de MITRE ATT&CK® v.10, abordando las tácticas de Escalación de Privilegios y Evasión de Defensa con Explotación para Escalación de Privilegios (T1068) y Cuentas Válidas (T1078) como las técnicas principales.

¿Creando tu propio contenido? Únete a la comunidad de defensa cibernética más grande del mundo de más de 23,000 expertos SOC impulsada por el Programa de Recompensas por Amenazas, y genera ingresos compartiendo tu contenido de detección. Aprovecha el poder del repositorio más grande del mundo de algoritmos SIEM y XDR para ayudarte a mantener el ritmo del siempre cambiante panorama de amenazas.

Ver Detecciones Unirse a la Recompensa por Amenazas

Descripción de CVE-2022–26923

La falla de escalación de privilegios del dominio de Active Directory recién revelada aún no ha sido explotada en la práctica, pero su alto puntaje CVSS de 8.8 indica un alto riesgo que representa para los sistemas comprometidos permitiendo a los atacantes abusar de los problemas de certificados. CVE-2022–26923 permite manipular el atributo DnsHostName, que especifica el nombre del equipo tal como está registrado en DNS, y luego permite a un adversario obtener un certificado de los Servicios de Certificación de AD, potencialmente llevando a una elevación de privilegios.

Para la mitigación y medidas protectoras de CVE-2022–26923, Microsoft recomienda encarecidamente actualizar todos los servidores que ejecutan los Servicios de Certificación de AD y los controladores de dominio de Windows que operan autenticación basada en certificados a la última versión del 10 de mayo.

El volumen de ataques en constante crecimiento requiere una velocidad ultrarrápida por parte de los defensores cibernéticos para responder oportunamente, lo que se puede lograr más rápida y eficientemente a través de los esfuerzos colaborativos de la comunidad global de ciberseguridad. Únase a la plataforma Detection as Code de SOC Prime para ver en acción cómo la experiencia colectiva de las mentes prominentes de ciberseguridad construye un cuerpo monolítico de conocimiento que da a los equipos de seguridad una ventaja inmensa sobre los atacantes.