2025/02/03 SecurityOnline — Active Directory Domain Services (AD DS) で発見された、新たな権限昇格の脆弱性 CVE-2025-21293 が、Microsoft の 2025年1月のセキュリティ・アップデートで修正されている。
ReTest Security ApS の Sebastian Sadeq Birke により発見/報告された、この脆弱性の悪用に成功した攻撃者は、デフォルトの Active Directory セキュリティ・グループと、Windows パフォーマンス監視メカニズムを悪用することで、権限を SYSTEM レベルに昇格できるという。
この脆弱性は、オンプレミスの Domain Controller をセットアップするときに、自動的に作成されるデフォルトのセキュリティ・グループである、Active Directory の “Network Configuration Operators” グループに起因する。このグループは、ユーザーに対して完全な管理者権限を与えることなく、ネットワーク・インターフェイスの制御を許可するためのものだ。しかし、Sebastian Sadeq Birke が発見したように、このグループに Microsoft は過剰な権限を与えており、機密サービスのレジストリ・サブキーの作成が問題となっている。
この研究者は、「何らかの理由があってか、Microsoft は、この古い組み込みグループに対して、システムに関連する権限を1つ多く残していた」と説明している。
Registry Key Security と Access Rights を利用することで、“Network Configuration Operators” は、2つの重要なサービス関連レジストリ・キーに対する CreateSubKey 属性を取得できる:
- DnsCache (DNS Client Service)
- NetBT (NetBIOS over TCP/IP Service)
このミスコンフィグレーションにより、予期しない権限昇格エクスプロイト実行の可能性が生じる。
このエクスプロイトが利用するのは、アプリケーションとサービスが PerfMon.exe または Windows Management Instrumentation (WMI) を介して、監視ルーチンを登録するためのメカニズムである Windows Performance Counters だ。
Sebastian Birke は、脆弱性 CVE-2025-21293 の潜在的な影響を示す、PoC エクスプロイト・コードをブログで公開している。
すでに Microsoft は、2025年1月14日にリリースした、セキュリティ更新プログラムで、この脆弱性 CVE-2025-21293 に対処している。Active Directory Domain Services を使用している、すべての組織に対して強く推奨されるのは、可能な限り早急に更新プログラムを適用し、このリスクを軽減することだ。
Microsoft Active Directory Domain Services の脆弱性 CVE-2025-21293 が FIX しました。PoC も公開されておりますので、ご利用のチームは、ご確認ください。よろしければ、Active Directory で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.