CVE-2025-21293 Erkennung: PoC-Exploit für eine Berechtigungseskalations-Schwachstelle in Active Directory Domain Services veröffentlicht
Inhaltsverzeichnis:
Kurz nach der kritischen Zero-Click OLE-Schwachstelle in Microsoft Outlook (CVE-2025-21298) ist eine weitere gefährliche Sicherheitsbedrohung ans Licht gekommen. Eine kürzlich gepatchte Schwachstelle zur Rechteausweitung, die die Active Directory Domain Services betrifft (CVE-2025-21293), hat sich gefährlich entwickelt. Da ein Proof-of-Concept (PoC)-Exploit nun öffentlich im Internet kursiert, hat sich das Risiko einer Ausnutzung erheblich erhöht. Diese Schwachstelle öffnet Angreifern die Tür, um Systemprivilegien innerhalb der Active Directory-Umgebung einer Organisation zu erlangen und möglicherweise sensible Operationen und Daten zu kompromittieren.
Erkennung von CVE-2025-21293-Ausnutzungsversuchen
CVE-2025-21293 zeichnet sich durch sein Potenzial aus, weitreichende Störungen zu verursachen. Active Directory ist ein grundlegender Bestandteil von Unternehmensumgebungen, von Fortune 500-Riesen bis hin zu kleinen Unternehmen, was diese Schwachstelle zu einem ernsten Anliegen macht. Die öffentliche Veröffentlichung eines PoC-Exploits hat nur die Dringlichkeit für proaktive Sicherheitsmaßnahmen erhöht.
Da Angreifer möglicherweise versuchen, die Schwachstelle auszunutzen, benötigen Sicherheitsteams eine zuverlässige Quelle von Erkennungsinhalten, um Eindringlinge rechtzeitig zu erkennen. SOC Prime-Plattform für kollektive Cyberabwehr bietet ein paar relevante Sigma-Regeln zusammen mit einer vollständigen Produktpalette für Bedrohungserkennung und -jagd.
Möglicher Missbrauch von Leistungscountern (via registry_event)
Diese Regel des SOC Prime-Teams hilft, eine potenzielle Ausnutzung von CVE-2025-21293 oder Persistenz zu erkennen und überwacht auf unautorisierte Registrierungsänderungen, insbesondere die Erstellung von Unterschlüsseln unter HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBT. Zusätzlich hilft sie, die Registrierung von Leistungscountern mit nicht erkannten DLLs zu entdecken, da dies ein Versuch sein könnte, Code mit erhöhten Privilegien auszuführen. Die Erkennung ist mit mehreren SIEM-, EDR- und Data Lake-Lösungen kompatibel und zugeordnet zu MITRE ATT&CK®, das die Event Triggered Execution (T1546) Technik adressiert.
Ein Benutzer wurde zu einer Gruppe hinzugefügt, die normalerweise leer sein muss (via Audit)
Diese Erkennung bezieht sich auf die Liste der Gruppen, die normalerweise leer sein müssen, weil sie selten legitim genutzt werden. Die verschachtelten Berechtigungen dieser Gruppen könnten einem Angreifer einen zusätzlichen Weg bieten, den Tier0/Control Plane des Active Directory zu kompromittieren. Diese Regel adressiert die Account Manipulation (T1098) Technik.
Klicken Sie auf den Explore Detections Button unten, um relevanten, mit Kontext angereicherten Sigma-Regeln zu erreichen, um CVE-2025-21293-Ausnutzungsversuche proaktiv zu erkennen:
Sicherheitsexperten, die nach relevanterem Inhalt für den proaktiven Erkennungsfall von Schwachstellenausnutzungen suchen, können über den gesamten relevanten Erkennungsstapel verfügen, indem sie diesen Link.
CVE-2025-21293 Analyse
Die Schwachstelle rührt von einem Problem innerhalb der Active Directory „Netzwerkkonfigurations-Operatoren“-Gruppe, die eine Standard-Sicherheitsgruppe ist und während der Einrichtung von On-Premises-Domänencontrollern automatisch erstellt wird. Während diese Gruppe den Benutzern erlauben soll, Netzwerkschnittstellen ohne vollständige Administratorrechte zu verwalten, hat Microsoft ihr übermäßige Berechtigungen gewährt, einschließlich der Fähigkeit, Registrierungsschlüssel für kritische Systemdienste zu erstellen.
Mit dieser Tür weit offen nutzt ein kürzlich veröffentlichter PoC-Exploit Windows-Leistungszähler — einen Mechanismus, der es Anwendungen und Diensten ermöglicht, Überwachungsroutinen über Leistungszählerverbraucher wie PerfMon.exe oder WMI zu registrieren. Während sie typischerweise verwendet werden, um System- und Anwendungsleistung zu überwachen, bieten Leistungszähler auch einen Pfad zur Ausführung von benutzerdefiniertem Code über DLLs, wie BirkeP, der Forscher, der den PoC enthüllte, hervorgehoben hat.
Durch die Ausnutzung der übermäßigen Berechtigungen, die der „Netzwerkkonfigurations-Operatoren“-Gruppe erteilt wurden, könnte ein Angreifer bösartige Leistungszähler-DLLs unter dem DnsCache Dienst-Registrierungsschlüssel registrieren. Einmal registriert, könnten diese DLLs mit SYSTEM-Rechten ausgeführt werden, was eine kritische Sicherheitsbedrohung darstellt.
Die CVE-2025-21293-Schwachstelle wurde von Microsoft im Januar 2025 während der Patch Tuesday-Veröffentlichung gepatcht. Es wird den Benutzern dringend empfohlen, die Beratung zu erforschen und den Patch sofort anzuwenden.
Da Active Directory ein grundlegender Bestandteil des Identitätsmanagements bleibt, ist es unerlässlich, diese Schwachstellen zu erkennen und zu mindern. Verlassen Sie sich auf SOC Prime-Plattform für proaktive Schwachstellenausnutzung und einen zukunftssicheren Schutz gegen aufkommende Cyberbedrohungen, indem Sie eine vollständige Produktpalette für fortgeschrittene Bedrohungserkennung, automatisierte Bedrohungsjagd und Intelligence-getriebene Erkennung nutzen.
