Код експлойта підтвердження концепції (PoC) випущено для CVE-2025-21293, критичної вразливості Active Directory Domain Services Elevation of Privilege.
Ця вразливість, виявлена у вересні 2024 року та виправлена в січні 2025 року, викликала занепокоєння через її потенційну можливість дозволити зловмисникам отримати привілеї системного рівня в середовищі Active Directory.
Вразливість була виявлена в ході розслідування групи «Оператори конфігурації мережі», маловідомої групи вбудованої безпеки в Active Directory.
Було виявлено, що ця група, призначена для надання обмежених привілеїв конфігурації мережі користувачам без повних прав адміністратора, має надмірні дозволи на конфіденційні розділи реєстру. Зокрема, це дозволило створювати підключі під ключами та ключами реєстру.DnsCache
NetBT
Ключова проблема полягає в поєднанні цих дозволів з можливістю маніпулювати лічильниками продуктивності Windows. Windows використовує лічильники продуктивності для моніторингу продуктивності системи та програм, але вони також забезпечують механізм для виконання користувацького коду через DLL, додав дослідник BirkeP.
Використовуючи дозволи групи «Оператори конфігурації мережі», зловмисник міг зареєструвати шкідливі бібліотеки DLL Performance Counter під ключем реєстру служб. Після реєстрації ці бібліотеки DLL можуть виконуватися з привілеями СИСТЕМНОГО рівня за запитом таких інструментів, як або WMI.DnsCache
PerfMon.exe

Використання лічильників продуктивності як зброї
Експлойт використовує здатність Windows завантажувати та виконувати користувацькі бібліотеки DLL як частину своєї інфраструктури Performance Counter. Зловмисник реєструє чотири конкретні підрозділи реєстру—, , , і —вказуючи на їхню шкідливу бібліотеку DLL.Library
Open
Collect
Close
Коли доступ до лічильника продуктивності здійснюється за допомогою запитів WMI або інструментів моніторингу, шкідливий код виконується в контексті SYSTEM, фактично підвищуючи привілеї.

Цей підхід ґрунтується на попередніх дослідженнях використання лічильників продуктивності, але застосовується унікально в контексті груп безпеки Active Directory за замовчуванням.
CVE-2025-21293 отримав оцінку CVSS 8,8, що відображає його високу серйозність. Успішна експлуатація дозволяє зловмисникам із низькими привілеями розширити свій доступ до контролю на рівні системи над ураженими системами. Це може забезпечити несанкціонований доступ до конфіденційних даних або полегшити бічне переміщення в мережі.
Експлойт PoC демонструє, як зловмисник може досягти цієї ескалації, ретельно розробляючи записи реєстру та розгортаючи шкідливу бібліотеку DLL. Експлойт не вимагає втручання користувача, що робить його особливо небезпечним у середовищах, де широко розгорнута Active Directory.
Корпорація Майкрософт усунула цю вразливість у своїх оновленнях Patch Tuesday за січень 2025 року. Патч змінює права доступу групи «Оператори конфігурації мережі», видаляючи її можливість створювати підключі під критичними ключами реєстру. Організаціям настійно рекомендується застосувати це оновлення негайно, щоб зменшити потенційні ризики.
Для систем, які не можна виправити негайно, адміністраторам слід розглянути можливість обмеження членства в групі «Оператори конфігурації мережі» та моніторингу незвичайних змін у реєстрі або активності лічильника продуктивності.
Випуск експлойта PoC для CVE-2025-21293 підкреслює важливість проактивних заходів безпеки та своєчасного виправлення в корпоративних середовищах. Ця вразливість підкреслює, як, здавалося б, незначні неправильні конфігурації в групах безпеки за замовчуванням можуть призвести до серйозних наслідків у поєднанні з іншими системними функціями.
Оскільки організації продовжують покладатися на Active Directory для керування ідентифікаційними даними, розуміння та усунення таких вразливостей має вирішальне значення. Команди безпеки повинні залишатися пильними, своєчасно застосовуючи виправлення та відстежуючи індикатори компрометації, пов’язані з цим експлойтом.