CVE-2025-21293 탐지: Active Directory 도메인 서비스의 권한 상승 취약점에 대한 PoC 익스플로잇 공개
목차:
중요한 이후 잠시 후 Microsoft Outlook의 제로 클릭 OLE 취약점 (CVE-2025-21298), 또 다른 위험한 보안 위협이 나타났습니다. 최근 패치된 Active Directory Domain Services의 권한 상승 취약점(CVE-2025-21293)이 위험한 방향으로 전개되었습니다. PoC(Proof-of-Concept) 익스플로잇이 이제 온라인으로 공개적으로 유포되면서, 악용 위험이 상당히 증가했습니다. 이 취약점은 공격자에게 조직의 Active Directory 환경 내에서 시스템 수준의 권한을 획득할 수 있는 문을 열어, 잠재적으로 민감한 작업과 데이터를 손상시킬 수 있습니다.
CVE-2025-21293 익스플로잇 시도를 탐지하십시오
CVE-2025-21293는 광범위한 혼란을 초래할 수 있는 잠재력으로 두드러집니다. Active Directory는 Fortune 500 대기업에서 소규모 기업에 이르기까지 기업 환경의 기본 구성 요소로, 이 취약점은 심각한 우려 사항입니다. PoC 익스플로잇의 공개는 능동적 보안 조치에 대한 긴급성을 더욱 높였습니다.
공격자가 결함을 악용하려고 할 가능성이 있는 상황에서 보안팀은 침입을 제때에 포착하기 위한 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위한 몇 가지 관련 Sigma 규칙과 위협 탐지 및 사냥을 위한 완전한 제품 제품군을 제공합니다.
성능 카운터의 가능성 있는 남용(레지스트리 이벤트 경유)
SOC Prime 팀의 이 규칙은 CVE-2025-21293의 잠재적 익스플로잇이나 지속성을 탐지하고 무단 레지스트리 수정, 특히 HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBT하의 하위 키 생성을 모니터링하는 데 도움을 줍니다. 또한 인식되지 않은 DLL에 연결된 성능 카운터의 등록을 포착하는 데 유용하며, 이는 권한 상승 시도로 보일 수 있습니다. 이 탐지는 여러 SIEM, EDR 및 Data Lake 솔루션과 호환되며 MITRE ATT&CK®에 매핑되어 이벤트 트리거 실행(T1546) 기법을 다룹니다.
사용자가 보통 비어 있어야 하는 그룹에 추가되었습니다(감사 경유)
이 탐지는 합법적으로 거의 사용되지 않기 때문에 보통 비어 있어야 하는 그룹의 목록과 관련이 있습니다. 이러한 그룹의 중첩된 권한은 공격자에게 Active Directory의 Tier0 / Control Plane을 손상시킬 수 있는 추가 경로를 제공합니다. 이 규칙은 계정 조작(T1098) 기법을 다룹니다.
클릭하십시오 탐지 탐색 아래 버튼을 클릭하여 CVE-2025-21293 익스플로잇 시도를 능동적으로 탐지하기 위한 관련 문맥이 풍부한 Sigma 규칙에 도달하십시오:
더 관련성이 높은 콘텐츠를 찾는 보안 전문가들은 능동적 취약점 익스플로잇 탐지 사용 사례를 다루는 전체 탐지 스택에 액세스할 수 있습니다. 이 링크.
CVE-2025-21293 분석
이 취약점은 온프레미스 도메인 컨트롤러 설정 시 자동으로 생성되는 기본 보안 그룹인 Active Directory “네트워크 구성 운영자” 그룹의 문제에서 발생합니다. 이 그룹은 사용자가 전체 관리자 권한 없이 네트워크 인터페이스를 관리할 수 있도록 되어 있지만, Microsoft는 주요 시스템 서비스에 대한 레지스트리 하위 키 생성을 포함한 과도한 권한을 부여했습니다.
이 문이 열리면서, 최근 출시된 PoC 익스플로잇은 PerfMon.exe나 WMI와 같은 성능 카운터 소비자를 통해 모니터링 루틴을 등록할 수 있는 메커니즘인 Windows 성능 카운터를 활용합니다. 일반적으로 시스템 및 응용 프로그램 성능을 추적하는 데 사용되지만, 성능 카운터는 DLL을 통해 사용자 지정 코드를 실행할 수 있는 경로도 제공합니다. 이 익스플로잇을 공개한 연구원 BirkeP가 강조한.
바와 같이 “네트워크 구성 운영자” 그룹에게 부여된 과도한 권한을 악용하여 공격자는 DnsCache 서비스 레지스트리 키 아래에 악성 성능 카운터 DLL을 등록할 수 있습니다. 등록되면 이 DLL은 시스템 레벨의 권한으로 실행될 수 있으며, 이는 심각한 보안 위협을 야기합니다.
CVE-2025-21293 취약점은 2025년 1월 마이크로소프트의 패치 화요일 릴리스 동안 패치되었습니다. 사용자는 강력하게 권고문 을 탐색하고 즉시 패치를 적용할 것을 권장합니다.
Active Directory가 여전히 ID 관리를 위한 기본 구성 요소인 만큼, 이러한 취약점을 인식하고 완화하는 것이 필수적입니다. 신뢰하십시오 SOC Prime 플랫폼 을 사용하여 능동적 취약점 익스플로잇 및 새로운 사이버 위협에 대한 미래 대비 방어를 제공하는 모든 제품군을 사용하여 고급 위협 탐지, 자동화된 위협 사냥 및 정보 주도 탐지 엔지니어링을 지원합니다.
