CVE-2025-21293 탐지: Active Directory 도메인 서비스의 권한 상승 취약점에 대한 PoC 익스플로잇 공개

[post-views]
2월 04, 2025 · 3 분 읽기
CVE-2025-21293 탐지: Active Directory 도메인 서비스의 권한 상승 취약점에 대한 PoC 익스플로잇 공개

중요한 이후 잠시 후 Microsoft Outlook의 제로 클릭 OLE 취약점 (CVE-2025-21298), 또 다른 위험한 보안 위협이 나타났습니다. 최근 패치된 Active Directory Domain Services의 권한 상승 취약점(CVE-2025-21293)이 위험한 방향으로 전개되었습니다. PoC(Proof-of-Concept) 익스플로잇이 이제 온라인으로 공개적으로 유포되면서, 악용 위험이 상당히 증가했습니다. 이 취약점은 공격자에게 조직의 Active Directory 환경 내에서 시스템 수준의 권한을 획득할 수 있는 문을 열어, 잠재적으로 민감한 작업과 데이터를 손상시킬 수 있습니다.

CVE-2025-21293 익스플로잇 시도를 탐지하십시오

CVE-2025-21293는 광범위한 혼란을 초래할 수 있는 잠재력으로 두드러집니다. Active Directory는 Fortune 500 대기업에서 소규모 기업에 이르기까지 기업 환경의 기본 구성 요소로, 이 취약점은 심각한 우려 사항입니다. PoC 익스플로잇의 공개는 능동적 보안 조치에 대한 긴급성을 더욱 높였습니다.

공격자가 결함을 악용하려고 할 가능성이 있는 상황에서 보안팀은 침입을 제때에 포착하기 위한 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위한 몇 가지 관련 Sigma 규칙과 위협 탐지 및 사냥을 위한 완전한 제품 제품군을 제공합니다.

성능 카운터의 가능성 있는 남용(레지스트리 이벤트 경유)

SOC Prime 팀의 이 규칙은 CVE-2025-21293의 잠재적 익스플로잇이나 지속성을 탐지하고 무단 레지스트리 수정, 특히 HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBT하의 하위 키 생성을 모니터링하는 데 도움을 줍니다. 또한 인식되지 않은 DLL에 연결된 성능 카운터의 등록을 포착하는 데 유용하며, 이는 권한 상승 시도로 보일 수 있습니다. 이 탐지는 여러 SIEM, EDR 및 Data Lake 솔루션과 호환되며 MITRE ATT&CK®에 매핑되어 이벤트 트리거 실행(T1546) 기법을 다룹니다.

사용자가 보통 비어 있어야 하는 그룹에 추가되었습니다(감사 경유)

이 탐지는 합법적으로 거의 사용되지 않기 때문에 보통 비어 있어야 하는 그룹의 목록과 관련이 있습니다. 이러한 그룹의 중첩된 권한은 공격자에게 Active Directory의 Tier0 / Control Plane을 손상시킬 수 있는 추가 경로를 제공합니다. 이 규칙은 계정 조작(T1098) 기법을 다룹니다.

클릭하십시오 탐지 탐색 아래 버튼을 클릭하여 CVE-2025-21293 익스플로잇 시도를 능동적으로 탐지하기 위한 관련 문맥이 풍부한 Sigma 규칙에 도달하십시오:

탐지 탐색

더 관련성이 높은 콘텐츠를 찾는 보안 전문가들은 능동적 취약점 익스플로잇 탐지 사용 사례를 다루는 전체 탐지 스택에 액세스할 수 있습니다. 이 링크.

CVE-2025-21293 분석

이 취약점은 온프레미스 도메인 컨트롤러 설정 시 자동으로 생성되는 기본 보안 그룹인 Active Directory “네트워크 구성 운영자” 그룹의 문제에서 발생합니다. 이 그룹은 사용자가 전체 관리자 권한 없이 네트워크 인터페이스를 관리할 수 있도록 되어 있지만, Microsoft는 주요 시스템 서비스에 대한 레지스트리 하위 키 생성을 포함한 과도한 권한을 부여했습니다.

이 문이 열리면서, 최근 출시된 PoC 익스플로잇은 PerfMon.exe나 WMI와 같은 성능 카운터 소비자를 통해 모니터링 루틴을 등록할 수 있는 메커니즘인 Windows 성능 카운터를 활용합니다. 일반적으로 시스템 및 응용 프로그램 성능을 추적하는 데 사용되지만, 성능 카운터는 DLL을 통해 사용자 지정 코드를 실행할 수 있는 경로도 제공합니다. 이 익스플로잇을 공개한 연구원 BirkeP가 강조한.

바와 같이 “네트워크 구성 운영자” 그룹에게 부여된 과도한 권한을 악용하여 공격자는 DnsCache 서비스 레지스트리 키 아래에 악성 성능 카운터 DLL을 등록할 수 있습니다. 등록되면 이 DLL은 시스템 레벨의 권한으로 실행될 수 있으며, 이는 심각한 보안 위협을 야기합니다.

CVE-2025-21293 취약점은 2025년 1월 마이크로소프트의 패치 화요일 릴리스 동안 패치되었습니다. 사용자는 강력하게 권고문 을 탐색하고 즉시 패치를 적용할 것을 권장합니다.

Active Directory가 여전히 ID 관리를 위한 기본 구성 요소인 만큼, 이러한 취약점을 인식하고 완화하는 것이 필수적입니다. 신뢰하십시오 SOC Prime 플랫폼 을 사용하여 능동적 취약점 익스플로잇 및 새로운 사이버 위협에 대한 미래 대비 방어를 제공하는 모든 제품군을 사용하여 고급 위협 탐지, 자동화된 위협 사냥 및 정보 주도 탐지 엔지니어링을 지원합니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물