Detección de CVE-2025-21293: Se Publica PoC Exploit para una Vulnerabilidad de Escalamiento de Privilegios en los Servicios de Dominio de Active Directory
Tabla de contenidos:
Poco después de la crítica vulnerabilidad de OLE sin clics en Microsoft Outlook (CVE-2025-21298), ha salido a la luz otra amenaza de seguridad peligrosa. Una vulnerabilidad de escalada de privilegios recientemente parcheada que afecta a los Servicios de Dominio de Active Directory (CVE-2025-21293) ha tomado un giro peligroso. Con un exploit de prueba de concepto (PoC) circulando públicamente en línea, el riesgo de explotación ha aumentado significativamente. Esta vulnerabilidad abre la puerta a que los atacantes obtengan privilegios a nivel de sistema dentro del entorno de Active Directory de una organización, comprometiendo potencialmente operaciones y datos sensibles.
Detectar Intentos de Explotación de CVE-2025-21293
CVE-2025-21293 se destaca por su potencial para causar una disrupción generalizada. Active Directory es un componente fundamental de los entornos corporativos, desde gigantes de Fortune 500 hasta pequeñas empresas, convirtiendo esta vulnerabilidad en un asunto serio. La publicación pública de un exploit PoC solo ha incrementado la urgencia de medidas de seguridad proactivas.
Con los atacantes potencialmente buscando explotar la falla, los equipos de seguridad requieren una fuente confiable de contenido de detección para identificar intrusiones a tiempo. Plataforma SOC Prime para la defensa cibernética colectiva ofrece un par de reglas Sigma relevantes acompañadas de un conjunto completo de productos para la detección y búsqueda de amenazas.
Posible Abuso de Contadores de Rendimiento (vía registry_event)
Esta regla del Equipo SOC Prime ayuda a detectar la posible explotación de CVE-2025-21293 o persistencia y monitorear modificaciones no autorizadas del registro, particularmente la creación de subclaves bajo HKLM\SYSTEM\CurrentControlSet\Services\DnsCache and HKLM\SYSTEM\CurrentControlSet\Services\NetBT. Adicionalmente, ayuda a detectar el registro de contadores de rendimiento vinculados a DLLs no reconocidas, ya que esto puede indicar un intento de ejecutar código con privilegios elevados. La detección es compatible con múltiples soluciones SIEM, EDR y Data Lake y está mapeado a MITRE ATT&CK®, abordando la técnica de Ejecución Activada por Eventos (T1546).
Se Añadió un Usuario a un Grupo que Usualmente Debe Estar Vacío (vía auditoría)
Esta detección está relacionada con la lista de grupos que usualmente deben estar vacíos porque raramente se usan legítimamente. Los privilegios anidados de estos grupos podrían proporcionar a un atacante un camino adicional para comprometer Tier0 / Control Plane de Active Directory. Esta regla aborda la técnica de Manipulación de Cuentas (T1098).
Haga clic en el Explorar Detecciones botón de abajo para acceder a reglas Sigma enriquecidas con contexto relevantes para detectar proactivamente intentos de explotación de CVE-2025-21293:
Los profesionales de la seguridad que buscan más contenido relevante que aborde el caso de uso de detección proactiva de explotación de vulnerabilidades pueden acceder a todo el conjunto de detección relevante pulsando este enlace.
Análisis de CVE-2025-21293
La vulnerabilidad se origina de un problema dentro del grupo «Operadores de Configuración de Red» de Active Directory, el cual es un grupo de seguridad predeterminado creado automáticamente durante la configuración de los controladores de dominio locales. Si bien este grupo está destinado a permitir a los usuarios gestionar interfaces de red sin derechos administrativos completos, Microsoft le otorgó privilegios excesivos, incluyendo la capacidad de crear subclaves del registro para servicios críticos del sistema.
Con esta puerta abierta, un exploit PoC recientemente lanzado emplea los Contadores de Rendimiento de Windows, un mecanismo que permite a las aplicaciones y servicios registrar rutinas de monitoreo a través de consumidores de contadores de rendimiento como PerfMon.exe o WMI. Si bien generalmente se utilizan para rastrear el rendimiento del sistema y aplicaciones, los contadores de rendimiento también proporcionan una vía para ejecutar código personalizado mediante DLLs, como destacó BirkeP, el investigador que reveló el PoC. destacó.
Al explotar los permisos excesivos otorgados al grupo «Operadores de Configuración de Red», un atacante podría registrar DLLs de Contadores de Rendimiento maliciosas bajo la clave del registro de servicio DnsCache . Una vez registradas, estas DLLs podrían ejecutarse con privilegios a nivel de SISTEMA, presentando una amenaza de seguridad crítica.
La vulnerabilidad CVE-2025-21293 fue parcheada por Microsoft en enero de 2025 durante la liberación del Patch Tuesday. Se recomienda encarecidamente a los usuarios explorar el aviso y aplicar el parche de inmediato.
A medida que Active Directory sigue siendo un componente fundamental para la gestión de identidades, reconocer y mitigar estas vulnerabilidades es esencial. Confíe en Plataforma SOC Prime para la explotación proactiva de vulnerabilidades y una defensa a prueba de futuro contra cualquier amenaza cibernética emergente utilizando un conjunto completo de productos para la detección avanzada de amenazas, búsqueda de amenazas automatizada e ingeniería de detección impulsada por inteligencia.
