Détection CVE-2025-21293 : Exploit PoC publié pour une vulnérabilité d’élévation de privilèges dans les services de domaine Active Directory
Table des matières :
Peu après la vulnérabilité critique zero-click OLE dans Microsoft Outlook (CVE-2025-21298), une autre menace de sécurité dangereuse a vu le jour. Une vulnérabilité d’élévation de privilèges récemment corrigée affectant les Active Directory Domain Services (CVE-2025-21293) a pris une tournure dangereuse. Avec une preuve de concept (PoC) de l’exploit circulant désormais publiquement en ligne, le risque d’exploitation a considérablement augmenté. Cette vulnérabilité ouvre la porte aux attaquants pour obtenir des privilèges au niveau système dans l’environnement Active Directory d’une organisation, compromettant potentiellement les opérations et les données sensibles.
Détecter les Tentatives d’Exploitation de CVE-2025-21293
CVE-2025-21293 se distingue par son potentiel à causer une perturbation généralisée. Active Directory est un composant fondamental des environnements d’entreprise, des géants du Fortune 500 aux petites entreprises, faisant de cette vulnérabilité une préoccupation sérieuse. La publication publique d’un PoC exploit n’a fait qu’augmenter l’urgence des mesures de sécurité proactives.
Avec des attaquants cherchant potentiellement à exploiter la faille, les équipes de sécurité ont besoin d’une source fiable de contenu de détection pour repérer les intrusions à temps. Plateforme SOC Prime pour la défense collective contre le cyber, offre quelques règles Sigma pertinentes accompagnées d’une suite complète de produits pour la détection et la chasse aux menaces.
Abus Possible des Compteurs de Performance (via registre_événement)
Cette règle par l’équipe SOC Prime aide à détecter l’exploitation potentielle de CVE-2025-21293 ou la persistance et à surveiller les modifications non autorisées du registre, en particulier la création de sous-clés sous HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBT. De plus, elle aide à repérer l’enregistrement de compteurs de performance liés à des DLLs non reconnues, car cela peut indiquer une tentative d’exécuter du code avec des privilèges élevés. La détection est compatible avec plusieurs solutions SIEM, EDR et Data Lake et est mappée à MITRE ATT&CK®, abordant la technique d’Exécution Déclenchée par un Événement (T1546).
Un Utilisateur a été Ajouté à un Groupe qui Doit Habituellement être Vide (via audit)
Cette détection est liée à la liste des groupes qui doivent habituellement être vides car ils sont rarement utilisés légitimement. Les privilèges imbriqués de ces groupes pourraient fournir un chemin supplémentaire à un attaquant pour compromettre le Tier0 / Plan de Contrôle d’Active Directory. Cette règle aborde la technique de Manipulation de Compte (T1098).
Cliquez sur le Explorer les Détections bouton ci-dessous pour atteindre les règles Sigma pertinentes enrichies de contexte afin de détecter proactivement les tentatives d’exploitation de CVE-2025-21293 :
Les professionnels de la sécurité recherchant un contenu plus pertinent abordant le cas d’utilisation de détection proactive d’exploitation de vulnérabilité pourraient accéder à l’ensemble complet de détections pertinentes en cliquant ce lien.
Analyse de CVE-2025-21293
La vulnérabilité provient d’un problème au sein du groupe « Opérateurs de Configuration Réseau » d’Active Directory qui est un groupe de sécurité par défaut créé automatiquement lors de l’installation de contrôleurs de domaine sur site. Bien que ce groupe soit censé permettre aux utilisateurs de gérer les interfaces réseau sans droits administratifs complets, Microsoft lui a accordé des privilèges excessifs, y compris la possibilité de créer des sous-clés de registre pour des services système critiques.
Avec cette porte grande ouverte, un PoC exploit récemment publié exploite les Compteurs de Performance Windows — un mécanisme qui permet aux applications et services d’enregistrer des routines de surveillance par l’intermédiaire de consommateurs de compteurs de performance tels que PerfMon.exe ou WMI. Bien que typiquement utilisés pour suivre la performance du système et des applications, les compteurs de performance offrent également un chemin pour exécuter du code personnalisé via des DLLs, comme l’a souligné BirkeP, le chercheur qui a révélé le PoC, mis en avant.
En exploitant les permissions excessives accordées au groupe « Opérateurs de Configuration Réseau », un attaquant pourrait enregistrer des DLLs de Compteurs de Performance malveillants sous la clé de registre service DnsCache. Une fois enregistrées, ces DLLs pourraient être exécutées avec des privilèges au niveau du SYSTÈME, posant une menace de sécurité critique. service registry key. Once registered, these DLLs could be executed with SYSTEM-level privileges, posing a critical security threat.
La vulnérabilité CVE-2025-21293 a été corrigée par Microsoft en janvier 2025 lors de la publication du Patch Tuesday. Il est fortement recommandé aux utilisateurs d’explorer le avis et d’appliquer le correctif immédiatement.
Alors qu’Active Directory reste un composant fondamental pour la gestion des identités, reconnaître et atténuer ces vulnérabilités est essentiel. Comptez sur Plateforme SOC Prime pour l’exploitation proactive de vulnérabilités et une défense pérenne contre toute menace cybernétique émergente à l’aide d’une suite de produits complète pour la détection avancée des menaces, la chasse automatisée aux menaces et une ingénierie de détection guidée par l’intelligence.
