Recentemente, fiz um artigo demonstrando a exploração de uma vulnerabilidade de escalação de privilégios em servidores Windows com o serviço do Active Directory. A falha foi notificada na CVE-2021-42278/42287. No mesmo artigo, deixei disponível uma regra de detecção hospedada no repositório github da Elastic Security, porém, atendendo a alguns pedidos, resolvi criar esse post rápido mostrando como criar uma regra no Elastic SIEM com base nas informações coletadas no artigo anterior. O objetivo é agilizar o processo de detecção e assim mitigar maiores danos.
segunda-feira, 31 de janeiro de 2022
sexta-feira, 21 de janeiro de 2022
Elastic SIEM - Análise de Escalação de Privilégios no Active Directory (CVE-2021–42278/42287)
Durante o ciclo de atualização de segurança de novembro/2021, a Microsoft lançou um patch para duas novas vulnerabilidades, CVE-2021-42287 e CVE-2021-42278. Ambas as vulnerabilidades são descritas como uma "Vulnerabilidade de escalação de privilégios de serviço de domínio do Windows Active Directory". Algumas semanas depois, em 12 de dezembro de 2021, uma ferramenta de prova de conceito aproveitando essas vulnerabilidades foi divulgada publicamente.
segunda-feira, 10 de janeiro de 2022
Elastic Endpoint Security: Instalação e Configuração
Ter um conjunto de ferramentas unificadas em um único ambiente é a proposta que acompanha as soluções do Elastic Security o qual tem o objetivo de unir SIEM com segurança para endpoints de forma reativa. Com isso, interceptar ameaças como ransomware torna uma tarefa mais rápida para isolamento de um host e mitigação do incidente.