CVE-2022-26923 検出：Active Directory ドメイン権限昇格の脆弱性

特権の悪用攻撃が MicrosoftのWindows Active Directory (AD) ドメイン環境で その範囲を拡大し、数百万のデバイスを標的にするまでに規模が大きくなっています。Microsoft Security Response Center (MSRC) は、同社の製品やサービスに影響を与えるセキュリティ欠陥に関する情報を最近更新し、新たに発見された Active Directory ドメイン サービスの特権昇格の脆弱性として追跡される CVE-2022–26923.

CVE-2022–26923 を検出

非DCアカウントによる DnsHostName 属性の操作を追跡し、それがCVE-2022–26923 の悪用試行に関連している可能性がある場合には、 Sigma ルールを以下で利用してください。このルールは、献身的な開発者チームによって提供されています。 SOC Prime:

可能性のあるドメインの特権昇格 [CVE-2022-26923] の悪用（監査を介して）

検出は、特権昇格 (T1068) と有効なアカウント (T1078) を主たる技術として Privilege Escalation と Defense Evasion の戦術に取り組む、最新の MITRE ATT&CK® フレームワーク v.10 に一致する 17 のSIEM, EDR & XDR プラットフォームで利用可能です。

あなた自身のコンテンツを作成していますか？Threat Bounty Program によりパワーアップされた 23,000+SOC 専門家の世界最大のサイバーディフェンス コミュニティと協力し、検出コンテンツを共有することで収入を得ましょう。絶えず進化する脅威の風景に対応するため、世界最大のSIEMおよびXDRアルゴリズムのリポジトリの力を活用してください。

検出を見る Threat Bountyに参加

CVE-2022–26923 説明

新たに明らかになったActive Directory ドメイン特権昇格の欠陥は、まだ野外で悪用されていませんが、8.8の高いCVSSスコアは、証明書の問題を悪用することで攻撃者が危険にさらすシステムに対する高いリスクを示しています。CVE-2022–26923は、コンピュータ名がDNSに登録された状態として指定されるDnsHostName属性を操作することを許可し、その後、攻撃者がAD証明書サービスから証明書を取得することを可能にし、特権の昇格を引き起こす可能性があります。

CVE-2022–26923 に対する緩和と防御策として、MicrosoftはAD証明書サービスを実行しているすべてのサーバーとWindowsドメインコントローラーを最新の 証明書ベースの認証 5月10日のバージョンにアップデートすることを強く推奨しています。

攻撃量が増加し続けているため、サイバー防衛者は時間に間に合うように対応するために超高速のスピードが求められます。このため、グローバルなサイバーセキュリティ コミュニティの共同努力によって、より迅速かつ効率的に達成できます。参加してください。 SOC PrimeのDetection as Codeプラットフォーム で、著名なサイバーセキュリティの専門家の集合した専門知識が、攻撃者に対する安全部隊に大きな利点を与える堅固な知識の集積をどのように構築するかを実際に見てください。