CVE-2025-21293 検出: Active Directory Domain Services の特権昇格脆弱性に対する PoC エクスプロイト公開

重大な Microsoft OutlookのゼロクリックOLE脆弱性 （CVE-2025-21298）のすぐ後に、別の危険なセキュリティ脅威が明るみに出ました。最近パッチが当てられたActive Directory Domain Servicesに影響を及ぼす権限昇格の脆弱性（CVE-2025-21293）が危険な方向に進んでいます。証明概念（PoC）エクスプロイトがインターネット上で公開されているため、悪用のリスクが大幅に増加しました。この脆弱性により、攻撃者は組織のActive Directory環境内でシステムレベルの権限を獲得する可能性があり、機密の操作やデータを危険にさらす可能性があります。

CVE-2025-21293のエクスプロイト試行を検出する

CVE-2025-21293は、広範な混乱を引き起こす可能性で際立っています。Active Directoryは、フォーチュン500から中小企業まで、企業環境において基本的なコンポーネントであり、この脆弱性は重大な懸念事項です。PoCエクスプロイトの公開は、積極的なセキュリティ対策の緊急性を高めるのみです。

攻撃者がこの欠陥を悪用しようとしている可能性があるため、セキュリティチームには、侵入をタイムリーに発見するための信頼できる検出コンテンツのソースが必要です。 SOC Primeプラットフォーム は、集合的なサイバー防御のために、関連するSigmaルールをいくつか提供するとともに、脅威検出と追跡のための完全な製品スイートを提供します。

パフォーマンスカウンターの悪用の可能性（via registry_event）

SOC Primeチームによるこのルールは、CVE-2025-21293の潜在的な悪用や持続性を検出し、特に HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBTの下にサブキーを作成するなどの権限のないレジストリの変更を監視します。さらに、未認識のDLLに関連付けられたパフォーマンスカウンターの登録を特定するのに役立ちます。これは、特権が昇格したコードの実行試行を示す可能性があります。検出は、複数のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CK®にマッピングされ、Event Triggered Execution（T1546）技術に対応します。

通常空であるべきグループにユーザーが追加されました（via audit）

この検出は、通常正当な理由で使用されることがめったにないため、空であるべきグループのリストに関連しています。これらのグループのネストされた権限により、攻撃者はActive DirectoryのTier0/コントロールプレーンを侵害する追加の経路を提供する可能性があります。このルールは、アカウント操作（T1098）技術に対応します。

クリックしてください 検出を探索 ボタンを押すと、関連コンテキストを含むSigmaルールにアクセスして、CVE-2025-21293のエクスプロイト試行を積極的に検出できます。

検出を探索

積極的な脆弱性悪用の検出ケースに関連するコンテンツを求めるセキュリティ専門家は、すべての関連する検出スタックにアクセスできます。 このリンク.

CVE-2025-21293の分析

この脆弱性の原因は、デフォルトで作成されるActive Directoryの「ネットワーク構成オペレーター」グループにあります。このグループは、本来は完全な管理者権限を持たずにネットワークインターフェイスを管理できるようにするものでしたが、Microsoftはシステムサービスのレジストリサブキーを作成する権限など、過剰な権限を与えていました。

この扉が大きく開かれた状態で、最近公開されたPoCエクスプロイトは、Windowsパフォーマンスカウンターを利用します。これは、PerfMon.exeやWMIなどのパフォーマンスカウンター消費者を通じて、アプリケーションとサービスが監視ルーチンを登録できるメカニズムです。通常、システムとアプリケーションのパフォーマンスを追跡するために使用されますが、パフォーマンスカウンターはDLLを介してカスタムコードを実行するための経路も提供します。このことをPoCを明らかにした研究者のBirkePが 指摘しました.

「ネットワーク構成オペレーター」グループに与えられた過剰な権限を悪用することで、攻撃者は DnsCache サービスのレジストリキーの下に悪意のあるパフォーマンスカウンターDLLを登録することができます。一度登録されると、これらのDLLはSYSTEMレベルの権限で実行される可能性があり、重大なセキュリティ脅威となります。

CVE-2025-21293の脆弱性は、2025年1月のPatch TuesdayリリースでMicrosoftによって修正されました。ユーザーは必ず アドバイザリ を確認し、直ちにパッチを適用することを強くお勧めします。

Active Directoryがアイデンティティ管理の基本コンポーネントであり続けるため、これらの脆弱性を認識し、緩和することが不可欠です。 SOC Primeプラットフォーム の積極的な脆弱性悪用と、進化するサイバー脅威からの将来型の防御を完全な製品スイートを使用して提供し、進化した脅威検出、自動化された脅威ハンティング、およびインテリジェンス駆動の検出エンジニアリングを可能にします。