Rilevamento CVE-2025-21293: Rilasciato PoC Exploit per una Vulnerabilità di Escalation dei Privilegi nei Servizi di Dominio Active Directory
Indice:
Poco dopo la critica vulnerabilità zero-click OLE in Microsoft Outlook (CVE-2025-21298), un’altra pericolosa minaccia alla sicurezza è emersa. Una vulnerabilità di escalation dei privilegi recentemente corretta, che colpisce Active Directory Domain Services (CVE-2025-21293), ha preso una piega pericolosa. Con un exploit proof-of-concept (PoC) ora in circolazione pubblicamente online, il rischio di sfruttamento è aumentato significativamente. Questa vulnerabilità apre la porta agli aggressori per ottenere privilegi a livello di sistema all’interno dell’ambiente Active Directory di un’organizzazione, potenzialmente compromettendo operazioni e dati sensibili.
Rilevare tentativi di sfruttamento di CVE-2025-21293
CVE-2025-21293 si distingue per il suo potenziale di causare una diffusa interruzione. Active Directory è una componente fondamentale degli ambienti aziendali, dai giganti della Fortune 500 alle piccole imprese, rendendo questa vulnerabilità un serio motivo di preoccupazione. Il rilascio pubblico di un exploit PoC ha solo aumentato l’urgenza di misure di sicurezza proattive.
Con gli attaccanti potenzialmente alla ricerca di sfruttare il difetto, i team di sicurezza necessitano di una fonte affidabile di contenuti di rilevamento per individuare le intrusioni in tempo. Piattaforma SOC Prime per la difesa cibernetica collettiva offre un paio di regole Sigma rilevanti accompagnate da una suite completa di prodotti per il rilevamento e la caccia alle minacce.
Possibile abuso dei contatori di prestazioni (via registry_event)
Questa regola del Team SOC Prime aiuta a rilevare potenziali sfruttamenti di CVE-2025-21293 o persistenza e a monitorare le modifiche non autorizzate al registro, in particolare la creazione di sottochiavi sotto HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBT. Inoltre, aiuta a individuare la registrazione di contatori di prestazioni collegati a DLL non riconosciute, poiché ciò potrebbe indicare un tentativo di eseguire codice con privilegi elevati. Il rilevamento è compatibile con soluzioni multiple SIEM, EDR e Data Lake ed è mappato a MITRE ATT&CK®, affrontando la tecnica Event Triggered Execution (T1546).
Un utente è stato aggiunto a un gruppo che di solito deve essere vuoto (via audit)
Questo rilevamento è correlato all’elenco di gruppi che di solito devono essere vuoti perché rari usati legittimamente. I privilegi nidificati di questi gruppi potrebbero fornire a un attaccante un percorso aggiuntivo per compromettere Tier0 / Control Plane di Active Directory. Questa regola affronta la tecnica Account Manipulation (T1098).
Clicca sul pulsante Esplora rilevamenti qui sotto per accedere a regole Sigma arricchite di contesto rilevante per rilevare proattivamente i tentativi di sfruttamento di CVE-2025-21293:
I professionisti della sicurezza che cercano contenuti più pertinenti che affrontano il caso d’uso del rilevamento proattivo dello sfruttamento delle vulnerabilità possono accedere all’intero stack di rilevamenti pertinenti facendo clic su questo link.
Analisi di CVE-2025-21293
La vulnerabilità deriva da un problema all’interno del gruppo “Network Configuration Operators” di Active Directory, che è un gruppo di sicurezza predefinito creato automaticamente durante l’installazione dei controller di dominio on-premises. Mentre questo gruppo è destinato a consentire agli utenti di gestire le interfacce di rete senza pieni diritti amministrativi, Microsoft gli ha concesso privilegi eccessivi, inclusa la capacità di creare sottochiavi del registro per servizi di sistema critici.
Con questa porta spalancata, un exploit PoC recentemente rilasciato sfrutta i Windows Performance Counters — un meccanismo che consente ad applicazioni e servizi di registrare routine di monitoraggio tramite consumatori di contatori di prestazioni come PerfMon.exe o WMI. Sebbene tipicamente utilizzati per monitorare le prestazioni di sistema e applicazioni, i contatori di prestazioni forniscono anche un percorso per eseguire codice personalizzato tramite DLL, come sottolineato da BirkeP, il ricercatore che ha rivelato il PoC, ha evidenziato.
Sfruttando i permessi eccessivi concessi al gruppo “Network Configuration Operators”, un attaccante potrebbe registrare DLL di contatori di prestazioni malevoli sotto la chiave di registro DnsCache . Una volta registrate, queste DLL potrebbero essere eseguite con privilegi di livello SYSTEM, rappresentando una grave minaccia alla sicurezza.
La vulnerabilità CVE-2025-21293 è stata corretta da Microsoft nel gennaio 2025 durante il rilascio Patch Tuesday. Si raccomanda fortemente agli utenti di consultare l’ avviso e applicare immediatamente la patch.
Poiché Active Directory rimane un componente fondamentale per la gestione dell’identità, riconoscere e mitigare queste vulnerabilità è essenziale. Affidati a Piattaforma SOC Prime per uno sfruttamento proattivo delle vulnerabilità e una difesa a prova di futuro contro qualsiasi minaccia informatica emergente utilizzando una suite di prodotti completa per il rilevamento avanzato delle minacce, la caccia automatizzata alle minacce e l’ingegneria del rilevamento basata sull’intelligence.
