Detecção do CVE-2025-21293: Exploit PoC Liberado para uma Vulnerabilidade de Escalonamento de Privilégios nos Serviços de Domínio do Active Directory

[post-views]
Fevereiro 04, 2025 · 4 min de leitura
Detecção do CVE-2025-21293: Exploit PoC Liberado para uma Vulnerabilidade de Escalonamento de Privilégios nos Serviços de Domínio do Active Directory

Logo após a crítica vulnerabilidade de zero clique OLE no Microsoft Outlook (CVE-2025-21298), mais uma perigosa ameaça de segurança veio à tona. Uma vulnerabilidade de escalonamento de privilégios recentemente corrigida que afeta os Serviços de Domínio do Active Directory (CVE-2025-21293) tomou um rumo perigoso. Com um exploit de prova de conceito (PoC) agora circulando publicamente online, o risco de exploração aumentou significativamente. Esta vulnerabilidade abre a porta para que atacantes obtenham privilégios de nível de sistema dentro do ambiente do Active Directory de uma organização, comprometendo potencialmente operações e dados sensíveis.

Detectar Tentativas de Exploração do CVE-2025-21293

O CVE-2025-21293 destaca-se por seu potencial de causar uma ampla disrupção. O Active Directory é um componente fundamental dos ambientes corporativos, desde gigantes da Fortune 500 até pequenas empresas, tornando essa vulnerabilidade uma preocupação séria. A liberação pública de um exploit PoC apenas aumentou a urgência para medidas de segurança proativas.

Com os atacantes potencialmente buscando explorar a falha, as equipes de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar intrusões a tempo. Plataforma SOC Prime para defesa cibernética coletiva oferece algumas regras Sigma relevantes acompanhadas de um conjunto completo de produtos para detecção e caçada de ameaças.

Possível Abuso de Contadores de Performance (via registry_event)

Esta regra da equipe SOC Prime ajuda a detectar possível exploração do CVE-2025-21293 ou persistência e monitorar modificações não autorizadas no registro, particularmente a criação de subchaves sob HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBT. Além disso, ajuda a identificar o registro de contadores de performance vinculados a DLLs não reconhecidas, já que isso pode indicar uma tentativa de executar código com privilégios elevados. A detecção é compatível com várias soluções de SIEM, EDR e Data Lake e mapeada para MITRE ATT&CK®, abordando a técnica de Execução Ativada por Eventos (T1546).

Um Usuário foi Adicionado a um Grupo que Normalmente Deve Estar Vazio (via auditoria)

Esta detecção está relacionada à lista de grupos que normalmente devem estar vazios porque raramente são usados legitimamente. Os privilégios aninhados desses grupos poderiam fornecer a um atacante um caminho adicional para comprometer o Tier0 / Control Plane do Active Directory. Esta regra aborda a técnica de Manipulação de Conta (T1098).

Clique no botão Explorar Detecções abaixo para acessar regras Sigma enriquecidas com contexto relevante para detectar proativamente tentativas de exploração do CVE-2025-21293:

Explorar Detecções

Profissionais de segurança que buscam mais conteúdo relevante abordando o caso de uso de detecção proativa de exploração de vulnerabilidade podem acessar todo o stack de detecção relevante clicando neste link.

Análise do CVE-2025-21293

A vulnerabilidade surge de um problema dentro do grupo “Network Configuration Operators” do Active Directory, que é um grupo de segurança padrão criado automaticamente durante a configuração de controladores de domínio locais. Embora este grupo tenha sido projetado para permitir que usuários gerenciem interfaces de rede sem direitos administrativos completos, a Microsoft concedeu a ele privilégios excessivos, incluindo a capacidade de criar subchaves de registro para serviços críticos do sistema.

Com esta porta completamente aberta, um exploit PoC recentemente lançado aproveita os Contadores de Performance do Windows — um mecanismo que permite que aplicativos e serviços registrem rotinas de monitoramento através de consumidores de contadores de performance como PerfMon.exe ou WMI. Embora tipicamente usados para monitorar desempenho do sistema e de aplicativos, os contadores de performance também fornecem um caminho para executar código personalizado via DLLs, como destacado por BirkeP, o pesquisador que revelou o PoC, destacou.

Ao explorar as permissões excessivas concedidas ao grupo “Network Configuration Operators”, um atacante poderia registrar DLLs de Contador de Performance maliciosas na chave de registro de serviço DnsCache . Uma vez registradas, essas DLLs poderiam ser executadas com privilégios de nível de SISTEMA, representando uma ameaça crítica à segurança.

A vulnerabilidade CVE-2025-21293 foi corrigida pela Microsoft em janeiro de 2025 durante o lançamento do Patch Tuesday. Recomenda-se fortemente que os usuários explorem o aviso e apliquem o patch imediatamente.

Como o Active Directory continua sendo um componente fundamental para a gestão de identidade, reconhecer e mitigar essas vulnerabilidades é essencial. Confie em Plataforma SOC Prime para exploração proativa de vulnerabilidades e uma defesa preparada para o futuro contra qualquer ameaça cibernética emergente usando um conjunto completo de produtos para detecção avançada de ameaças, caça de ameaças automatizada e engenharia de detecção guiada por inteligência.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas