CVE-2022-26923 탐지: Active Directory 도메인 권한 상승 취약점

권한 악용 공격은 Microsoft의 Windows Active Directory (AD) 도메인 환경에서 규모를 확장하고 있으며 수백만 대의 장치를 대상으로 확대되고 있습니다. Microsoft 보안 대응 센터(MSRC)는 회사의 제품 및 서비스에 영향을 미치는 보안 결함에 대한 최근의 업데이트 정보를 제공하며, 최근 발견된 Active Directory 도메인 서비스의 권한 상승 취약점으로 추적된 CVE-2022–26923에 대해 강조하고 있습니다..

CVE-2022–26923 감지

CVE-2022–26923 익스플로잇 시도로 연결될 수 있는 비-DC 계정에 의한 DnsHostName 속성 조작을 추적하려면, Sigma 규칙을 아래 제공된 SOC Prime:

팀의 헌신적 개발자들로부터 이용하세요

감지는 특권 상승 및 방어 회피 전술에 대응하여 특권 상승을 위한 익스플로잇(T1068) 및 유효 계정(T1078)을 주요 기술로 삼는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰진 17 SIEM, EDR & XDR 플랫폼에서 가능합니다.

자체 콘텐츠를 작성 중이십니까? 23,000명 이상의 SOC 전문가가 참여한 세계 최대 사이버 방어 커뮤니티와 협력하여 탐지 콘텐츠를 공유함으로써 수익을 창출하세요. 끊임없이 변화하는 위협 환경에 발맞추기 위해 세계 최대의 SIEM 및 XDR 알고리즘 저장소의 힘을 활용하세요.

탐지 보기 위협 바운티 조인

CVE-2022–26923 설명

새롭게 드러난 Active Directory 도메인 권한 상승 결함은 아직까지 현실에서 악용되지 않았지만, 8.8의 높은 CVSS 점수는 침해된 시스템에 심각한 위험을 나타내며 공격자들이 인증서 문제를 악용할 수 있는 가능성을 높입니다. CVE-2022–26923은 DNS에 등록된 대로 컴퓨터 이름을 지정하는 DnsHostName 속성을 조작하여 AD 인증서 서비스로부터 인증서를 획득할 수 있게 하고, 이는 잠재적으로 권한 상승으로 이어질 수 있습니다.

CVE-2022–26923의 완화 및 보호 조치를 위해 Microsoft는 AD 인증서 서비스와 Windows 도메인 컨트롤러를 운영하는 모든 서버를 인증서 기반 인증 이라는 최신 5월 10일 버전으로 업데이트할 것을 강력히 권장합니다.

점점 증가하는 공격량은 사이버 방어자들이 시기적절하게 대응하기 위해 초고속 속도를 필요로 하며, 이는 글로벌 사이버 보안 커뮤니티의 협력 노력을 통해 더 빠르고 효율적으로 달성할 수 있습니다. 합류하세요 SOC Prime의 Detection as Code 플랫폼 을 통해 저명한 사이버 보안 전문가들의 집단적 지식이 어떻게 보안 팀에게 공격자에 대한 엄청난 이점을 제공하는 견고한 지식의 본체를 구성하는지를 직접 확인하세요.