时间:2022-05-13 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
近日,奇安信CERT监测到CVE-2022-26963ActiveDirectoryDomainServices权限提升漏洞细节及PoC已在互联网公开。ActiveDirectoryDomainServices存在权限提升漏洞,当ActiveDirectory证书服务在域上运行时,经过身份验证的攻击者可以在证书请求中包含特制的数据,然后从ActiveDirectory证书服务中获取允许提升权限的证书,并将域中普通用户权限提升为域管理员权限。经研判,此漏洞PoC有效,漏洞的现实威胁进一步上升。鉴于此漏洞影响较大,建议客户尽快自查修复,升级至安全版本。
奇安信CERT已成功复现ActiveDirectoryDomainServices权限提升漏洞(CVE-2022-26923),截图如下:
威胁评估
处置建议
安装补丁,补丁链接https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
产品解决方案
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7383,建议用户尽快升级检测规则库至2204222340以后版本并启用该检测规则。
奇安信天眼检测方案
奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0513.13339或以上版本。规则ID及规则名称:0x5e68,ActiveDirectory域权限提升漏洞(CVE-2022-26963)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
参考资料
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
[2]https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4
时间线
2022年5月13日,奇安信CERT发布安全风险通告。
到奇安信NOX-安全监测平台查询更多漏洞详情
95015服务热线
微信公众号