# AN1422 — Analytic 1422 ## Descrição Detecta comportamento de escape de contêiner via exploração (como DirtyPipe/CVE-2022-0847), seguido de interação com o sistema operacional host ou atribuição escalada de capabilities de contêiner que indicam comprometimento do host subjacente. A telemetria inclui eventos de runtime de contêiner (containerd, Docker), syscalls anômalas capturadas por Falco ou auditd e acesso ao sistema de arquivos do host a partir de dentro de um contêiner privilegiado. Essa detecção é crítica para plataformas Kubernetes e ambientes de microsserviços, onde o escape de contêiner representa risco de comprometimento de todo o cluster a partir de uma única carga de trabalho vulnerável. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1422](https://attack.mitre.org/detectionstrategies/DET0514#AN1422)*