Detecção do CVE-2025-21293: Exploit PoC Liberado para uma Vulnerabilidade de Escalonamento de Privilégios nos Serviços de Domínio do Active Directory
Índice:
Logo após a crítica vulnerabilidade de zero clique OLE no Microsoft Outlook (CVE-2025-21298), mais uma perigosa ameaça de segurança veio à tona. Uma vulnerabilidade de escalonamento de privilégios recentemente corrigida que afeta os Serviços de Domínio do Active Directory (CVE-2025-21293) tomou um rumo perigoso. Com um exploit de prova de conceito (PoC) agora circulando publicamente online, o risco de exploração aumentou significativamente. Esta vulnerabilidade abre a porta para que atacantes obtenham privilégios de nível de sistema dentro do ambiente do Active Directory de uma organização, comprometendo potencialmente operações e dados sensíveis.
Detectar Tentativas de Exploração do CVE-2025-21293
O CVE-2025-21293 destaca-se por seu potencial de causar uma ampla disrupção. O Active Directory é um componente fundamental dos ambientes corporativos, desde gigantes da Fortune 500 até pequenas empresas, tornando essa vulnerabilidade uma preocupação séria. A liberação pública de um exploit PoC apenas aumentou a urgência para medidas de segurança proativas.
Com os atacantes potencialmente buscando explorar a falha, as equipes de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar intrusões a tempo. Plataforma SOC Prime para defesa cibernética coletiva oferece algumas regras Sigma relevantes acompanhadas de um conjunto completo de produtos para detecção e caçada de ameaças.
Possível Abuso de Contadores de Performance (via registry_event)
Esta regra da equipe SOC Prime ajuda a detectar possível exploração do CVE-2025-21293 ou persistência e monitorar modificações não autorizadas no registro, particularmente a criação de subchaves sob HKLM\SYSTEM\CurrentControlSet\Services\NetBT and HKLM\SYSTEM\CurrentControlSet\Services\NetBT. Além disso, ajuda a identificar o registro de contadores de performance vinculados a DLLs não reconhecidas, já que isso pode indicar uma tentativa de executar código com privilégios elevados. A detecção é compatível com várias soluções de SIEM, EDR e Data Lake e mapeada para MITRE ATT&CK®, abordando a técnica de Execução Ativada por Eventos (T1546).
Um Usuário foi Adicionado a um Grupo que Normalmente Deve Estar Vazio (via auditoria)
Esta detecção está relacionada à lista de grupos que normalmente devem estar vazios porque raramente são usados legitimamente. Os privilégios aninhados desses grupos poderiam fornecer a um atacante um caminho adicional para comprometer o Tier0 / Control Plane do Active Directory. Esta regra aborda a técnica de Manipulação de Conta (T1098).
Clique no botão Explorar Detecções abaixo para acessar regras Sigma enriquecidas com contexto relevante para detectar proativamente tentativas de exploração do CVE-2025-21293:
Profissionais de segurança que buscam mais conteúdo relevante abordando o caso de uso de detecção proativa de exploração de vulnerabilidade podem acessar todo o stack de detecção relevante clicando neste link.
Análise do CVE-2025-21293
A vulnerabilidade surge de um problema dentro do grupo “Network Configuration Operators” do Active Directory, que é um grupo de segurança padrão criado automaticamente durante a configuração de controladores de domínio locais. Embora este grupo tenha sido projetado para permitir que usuários gerenciem interfaces de rede sem direitos administrativos completos, a Microsoft concedeu a ele privilégios excessivos, incluindo a capacidade de criar subchaves de registro para serviços críticos do sistema.
Com esta porta completamente aberta, um exploit PoC recentemente lançado aproveita os Contadores de Performance do Windows — um mecanismo que permite que aplicativos e serviços registrem rotinas de monitoramento através de consumidores de contadores de performance como PerfMon.exe ou WMI. Embora tipicamente usados para monitorar desempenho do sistema e de aplicativos, os contadores de performance também fornecem um caminho para executar código personalizado via DLLs, como destacado por BirkeP, o pesquisador que revelou o PoC, destacou.
Ao explorar as permissões excessivas concedidas ao grupo “Network Configuration Operators”, um atacante poderia registrar DLLs de Contador de Performance maliciosas na chave de registro de serviço DnsCache . Uma vez registradas, essas DLLs poderiam ser executadas com privilégios de nível de SISTEMA, representando uma ameaça crítica à segurança.
A vulnerabilidade CVE-2025-21293 foi corrigida pela Microsoft em janeiro de 2025 durante o lançamento do Patch Tuesday. Recomenda-se fortemente que os usuários explorem o aviso e apliquem o patch imediatamente.
Como o Active Directory continua sendo um componente fundamental para a gestão de identidade, reconhecer e mitigar essas vulnerabilidades é essencial. Confie em Plataforma SOC Prime para exploração proativa de vulnerabilidades e uma defesa preparada para o futuro contra qualquer ameaça cibernética emergente usando um conjunto completo de produtos para detecção avançada de ameaças, caça de ameaças automatizada e engenharia de detecção guiada por inteligência.
