Rilevamento CVE-2022-26923: Vulnerabilità di Escalation dei Privilegi del Dominio Active Directory

Gli attacchi di sfruttamento dei privilegi in gli ambienti di dominio di Microsoft Windows Active Directory (AD) stanno ampliando la loro portata e aumentando di scala per prendere di mira milioni di dispositivi. Il Microsoft Security Response Center (MSRC) ha recentemente aggiornato le informazioni sui difetti di sicurezza che influenzano i prodotti e servizi della compagnia, evidenziando la nuova vulnerabilità di elevazione dei privilegi di Active Directory Domain Services tracciata come CVE-2022–26923.

Rileva CVE-2022–26923

Per tracciare qualsiasi manipolazione dell’attributo DnsHostName da parte di un account non DC che potrebbe essere collegato ai tentativi di sfruttamento di CVE-2022–26923, utilizza il regola Sigma di seguito fornita dal team di sviluppatori dedicati di SOC Prime:

Possibile Sfruttamento di Escalation dei Privilegi di Dominio [CVE-2022-26923] (tramite audit)

La rilevazione è disponibile per le 17 piattaforme SIEM, EDR e XDR, allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando le tattiche di Escalation dei Privilegi e Evasione delle Difese con l’Exploitation for Privilege Escalation (T1068) e Valid Accounts (T1078) come tecniche principali.

Stai creando i tuoi contenuti? Unisciti alla più grande comunità di difesa informatica del mondo composta da più di 23.000 esperti SOC, potenziata dal Threat Bounty Program, e genera reddito condividendo i tuoi contenuti di rilevazione. Sfrutta la potenza del più grande deposito mondiale di algoritmi SIEM e XDR per aiutarti a tenere il passo con il panorama delle minacce in continua evoluzione.

Visualizza le Rilevazioni Unisciti al Threat Bounty

Descrizione di CVE-2022–26923

Il recentemente rivelato difetto di escalation dei privilegi di Active Directory Domain non è ancora stato sfruttato in natura, ma il suo alto punteggio CVSS di 8,8 indica un alto rischio che pone ai sistemi compromessi permettendo agli attaccanti di abusare dei problemi dei certificati. CVE-2022–26923 consente di manipolare l’attributo DnsHostName, che specifica il nome del computer registrato nel DNS, e quindi consente a un avversario di ottenere un certificato dai Servizi di Certificazione AD, potenzialmente portando a un’elevazione dei privilegi.

Per la mitigazione e le misure protettive di CVE-2022–26923, Microsoft consiglia vivamente di aggiornare tutti i server che eseguono Servizi di Certificazione AD e i controller di dominio Windows che operano autenticazione basata su certificati all’ultima versione del 10 maggio.

Il volume di attacchi in crescita richiede una velocità ultra-rapida dai difensori informatici per rispondere tempestivamente, cosa che può essere raggiunta più velocemente ed efficientemente attraverso gli sforzi collaborativi della comunità globale di cybersecurity. Unisciti a la piattaforma Detection as Code di SOC Prime per vedere in azione come l’expertise collettiva delle menti di cybersecurity più prominenti costruisce un corpo monolitico di conoscenza offrendo ai team di sicurezza un vantaggio immenso sugli aggressori.