Detecção CVE-2022-26923: Vulnerabilidade de Escalamento de Privilégios no Domínio Active Directory

Ataques de exploração de privilégios em ambientes de Domínio do Active Directory (AD) do Windows da Microsoft estão expandindo seu alcance e crescendo em escala para atingir milhões de dispositivos. O Microsoft Security Response Center (MSRC) atualizou recentemente informações sobre falhas de segurança que afetam os produtos e serviços da empresa, destacando a recém-descoberta vulnerabilidade de elevação de privilégio dos Serviços de Domínio do Active Directory rastreada como CVE-2022–26923.

Detectar CVE-2022–26923

Para rastrear qualquer manipulação no atributo DnsHostName por conta não DC que possa estar ligada a tentativas de exploração do CVE-2022–26923, utilize a Sigma regra abaixo fornecida pela equipe de desenvolvedores dedicados da SOC Prime:

Possível Escalação de Privilégio de Domínio [CVE-2022-26923] Exploração (via auditoria)

A detecção está disponível para as 17 plataformas SIEM, EDR & XDR, alinhada com a estrutura MITRE ATT&CK® mais recente v.10, abordando as táticas de Escalation de Privilégio e Evasão de Defesa com Exploit para Escalation de Privilégio (T1068) e Contas Válidas (T1078) como as principais técnicas.

Criando seu próprio conteúdo? Una-se à maior comunidade de defesa cibernética do mundo com mais de 23.000 especialistas em SOC movidos pelo Threat Bounty Program e gere receita compartilhando seu conteúdo de detecção. Aproveite o poder do maior repositório de algoritmos SIEM e XDR do mundo para ajudá-lo a acompanhar o cenário de ameaças em constante evolução.

Ver Detecções Participe do Threat Bounty

Descrição do CVE-2022–26923

A recentemente revelada falha de escalonamento de privilégio do Domínio Active Directory ainda não foi explorada em campo, mas sua alta pontuação CVSS de 8.8 aponta para um alto risco que representa para os sistemas comprometidos, permitindo que invasores abusem das questões de certificado. O CVE-2022–26923 permite manipular o atributo DnsHostName, que especifica o nome do computador conforme registrado no DNS, e então habilita um adversário a obter um certificado dos Serviços de Certificado AD, potencialmente levando à elevação de privilégio.

Para mitigação e medidas de proteção do CVE-2022–26923, a Microsoft recomenda fortemente atualizar todos os servidores que executam Serviços de Certificado AD e controladores de domínio Windows operando autenticação baseada em certificado para a última versão de 10 de maio.

O volume de ataques em constante crescimento requer velocidade ultra-rápida dos defensores cibernéticos para responder em tempo hábil, o que pode ser alcançado de maneira mais rápida e eficiente através dos esforços colaborativos da comunidade global de cibersegurança. Junte-se à plataforma Detection as Code da SOC Prime para ver em ação como a expertise coletiva das mentes destacadas da cibersegurança constrói um corpo monolítico de conhecimento dando às equipes de segurança uma vantagem imensa sobre os atacantes.