Nel mondo della sicurezza informatica, le vulnerabilità possono rappresentare una minaccia significativa per le organizzazioni che utilizzano Active Directory (AD) per la gestione delle identità. Uno degli exploit più recenti e critici è rappresentato da CVE-2025-21293, una vulnerabilità di escalation di privilegi che può essere sfruttata per ottenere accesso a livello di sistema all’interno di un ambiente di Active Directory. In questo articolo, esploreremo i dettagli di questa vulnerabilità, come funziona l’exploit e quali sono le strategie di mitigazione raccomandate.
Dettagli della Vulnerabilità
La vulnerabilità CVE-2025-21293 è stata scoperta e segnalata da Sebastian Sadeq Birke di ReTest Security ApS. Questa vulnerabilità è legata al gruppo di sicurezza “Network Configuration Operators” (NCO), un gruppo predefinito creato durante la configurazione dei controller di dominio locali. Il gruppo NCO è destinato a concedere ai membri la possibilità di configurare le interfacce di rete senza concedere diritti amministrativi completi[1][3][5].
Tuttavia, come rivelato da Birke, Microsoft ha lasciato questo gruppo con diritti eccessivi, in particolare la capacità di creare chiavi di registro per servizi critici. Questa misconfigurazione ha aperto la strada a un exploit di escalation di privilegi inaspettato.
Come Funziona l’Exploit
L’exploit di CVE-2025-21293 si basa sulla manipolazione dei contatori di prestazioni di Windows, una funzionalità che consente agli applicativi e ai servizi di registrare routine di monitoraggio tramite PerfMon.exe o WMI (Windows Management Instrumentation)[1][3][5].
Un attaccante può sfruttare le autorizzazioni eccessive del gruppo NCO per registrare DLL maliziose sotto le chiavi di registro relative ai servizi DNS Cache e NetBIOS over TCP/IP. Quando i contatori di prestazione vengono accessi, ad esempio tramite query WMI o strumenti di monitoraggio, il codice malizioso viene eseguito con privilegi di sistema, consentendo così all’attaccante di ottenere accesso a livello di sistema[1][3][5].
Rischi e Impatto
La vulnerabilità CVE-2025-21293 è stata classificata con un CVSS score di 8,8, indicando un alto livello di gravità. Un attaccante con privilegi bassi può sfruttare questa vulnerabilità per ottenere accesso a livello di sistema, compromettendo così la sicurezza dell’ambiente di Active Directory. Ciò può portare a una serie di rischi, tra cui l’accesso non autorizzato a dati sensibili o la facilitazione del movimento laterale all’interno della rete[1][3][5].
Mitigazioni e Strategie di Sicurezza
Per mitigare il rischio associato a CVE-2025-21293, è fondamentale adottare strategie di sicurezza proattive e tempestive. Ecco alcune raccomandazioni:
1. Patching Tempestivo
Microsoft ha patchato questa vulnerabilità nel suo aggiornamento di sicurezza del gennaio 2025. È essenziale che tutte le organizzazioni che utilizzano Active Directory Domain Services applichino questo aggiornamento il più presto possibile per mitigare il rischio[1][3][5].
2. Restrizioni di Gruppo
Per sistemi che non possono essere patchati immediatamente, gli amministratori dovrebbero considerare la restrizione della partecipazione al gruppo “Network Configuration Operators” e monitorare per registrazioni di registro o attività dei contatori di prestazione insolite[1][3][5].
3. Monitoraggio Continuo
È cruciale implementare un monitoraggio continuo dell’attività del registro e dei contatori di prestazione per rilevare eventuali modifiche non autorizzate. Utilizzare regole di detezione come quelle fornite da SOC Prime può aiutare a identificare tentativi di sfruttamento della vulnerabilità[3].
4. Educazione e Formazione
L’educazione e la formazione degli amministratori e degli utenti sono fondamentali per comprendere i rischi associati a questa vulnerabilità e per adottare comportamenti sicuri. Assicurarsi che tutti gli utenti siano consapevoli delle best practice di sicurezza e delle strategie di mitigazione è essenziale[1][3][5].
La vulnerabilità CVE-2025-21293 rappresenta un pericolo significativo per le organizzazioni che utilizzano Active Directory. L’exploit di escalation di privilegi può essere sfruttato per ottenere accesso a livello di sistema, compromettendo la sicurezza dell’ambiente di Active Directory. Per mitigare questo rischio, è essenziale adottare strategie di sicurezza proattive, come il patching tempestivo, la restrizione della partecipazione ai gruppi di sicurezza e il monitoraggio continuo dell’attività del registro e dei contatori di prestazione.
Inoltre, l’educazione e la formazione degli amministratori e degli utenti sono fondamentali per comprendere i rischi associati a questa vulnerabilità e per adottare comportamenti sicuri. Assicurarsi che tutte le organizzazioni che utilizzano Active Directory Domain Services applichino le patch e implementino strategie di sicurezza efficaci è cruciale per proteggere i dati sensibili e prevenire attacchi informatici.
Fonte: https://cybersecuritynews.com/poc-exploit-active-directory-domain-services
