CVE-2022-26923 Détection : Vulnérabilité d’Escalade de Privilèges dans le Domaine Active Directory

Les attaques d’exploitation de privilèges dans les environnements de domaine Active Directory (AD) de Microsoft Windows étendent leur champ d’action et gagnent en ampleur pour cibler des millions de dispositifs. Le Microsoft Security Response Center (MSRC) a récemment mis à jour les informations sur les failles de sécurité affectant les produits et services de la société, en soulignant la vulnérabilité récemment découverte de l’élévation de privilèges des services de domaine Active Directory suivie sous CVE-2022–26923.

Détecter CVE-2022–26923

Pour tracer toute manipulation sur l’attribut DnsHostName par un compte non-DC qui pourrait être liée aux tentatives d’exploitation de CVE-2022–26923, utilisez la règle Sigma ci-dessous fournie par l’équipe de développeurs dévoués de SOC Prime:

Exploitation possible de l’élévation de privilège de domaine [CVE-2022-26923] (via audit)

La détection est disponible pour les 17 plateformes SIEM, EDR & XDR, alignée avec la dernière version 10 du cadre MITRE ATT&CK®, abordant les tactiques d’élévation de privilège et d’évasion de défense avec l’exploitation pour l’élévation de privilèges (T1068) et les comptes valides (T1078) comme principales techniques.

Vous rédigez vos propres contenus ? Rejoignez la plus grande communauté de cyberdéfense du monde, composée de plus de 23 000 experts SOC propulsés par le Threat Bounty Program, et générez des revenus en partageant vos contenus de détection. Exploitez la puissance du plus grand référentiel mondial d’algorithmes SIEM et XDR pour vous aider à suivre le rythme du paysage des menaces en constante évolution.

Voir les détections Rejoindre Threat Bounty

Description de CVE-2022–26923

La faille récemment révélée de l’élévation de privilège du domaine Active Directory n’a pas encore été exploitée dans la nature, mais son score CVSS élevé de 8.8 indique un risque élevé qu’elle pose aux systèmes compromis, permettant ainsi aux attaquants d’abuser des problèmes de certificat. CVE-2022–26923 permet de manipuler l’attribut DnsHostName, qui spécifie le nom de l’ordinateur tel qu’il est enregistré dans le DNS, puis permet à un adversaire d’obtenir un certificat des services AD Certificate Services, pouvant potentiellement conduire à une élévation de privilèges.

Pour la mitigation de CVE-2022–26923 et les mesures de protection, Microsoft recommande vivement de mettre à jour tous les serveurs exécutant les services de certificat AD et les contrôleurs de domaine Windows utilisant l’authentification basée sur certificat à la dernière version du 10 mai.

Le volume d’attaques en constante augmentation nécessite une rapidité ultra-rapide des cyberdéfenseurs pour répondre en temps voulu, ce qui peut être réalisé plus rapidement et efficacement grâce aux efforts collaboratifs de la communauté mondiale de la cybersécurité. Rejoignez la plateforme Detection as Code de SOC Prime pour voir en action comment l’expertise collective des esprits éminents de la cybersécurité construit un corps de connaissances monolithique donnant aux équipes de sécurité un immense avantage sur les attaquants.