Exploit para vulnerabilidad de escalamiento de privilegios en AD (CVE-2025-21293)

 Se ha publicado un código de explotación de prueba de concepto (PoC) para CVE-2025-21293, una vulnerabilidad crítica de elevación de privilegios en los servicios de dominio de Active Directory.

Esta vulnerabilidad, descubierta en septiembre de 2024 y parcheada en enero de 2025, ha suscitado inquietudes debido a su potencial para permitir a los atacantes obtener privilegios a nivel de sistema dentro de un entorno de Active Directory. Al CVE-2025-21293 se le ha asignado una puntuación CVSS de 8,8, lo que refleja su alta gravedad.

La vulnerabilidad se identificó durante una investigación sobre el grupo "Operadores de configuración de red", un grupo de seguridad integrado poco conocido en Active Directory. Se descubrió que este grupo, destinado a otorgar privilegios limitados de configuración de red a usuarios sin derechos administrativos completos, tenía permisos excesivos sobre claves de registro confidenciales. En concreto, permitía la creación de subclaves bajo las claves de registro DnsCache y NetBT.

El problema radica en la combinación de estos permisos con la capacidad de manipular los contadores de rendimiento de Windows. Windows utiliza estos contadores para supervisar el rendimiento del sistema y de las aplicaciones, pero también proporciona un mecanismo para ejecutar código personalizado a través de archivos DLL, dijo el investigador BirkeP.

Al explotar los permisos del grupo "Operadores de configuración de red", un atacante podría registrar archivos DLL de contadores de rendimiento maliciosos en la clave de registro del servicio DnsCache. Una vez registrados, estos archivos DLL podrían ejecutarse con privilegios de nivel SYSTEM cuando se los consulte con herramientas como PerfMon.exe o WMI.


El exploit aprovecha la capacidad de Windows de cargar y ejecutar archivos DLL personalizados como parte de su infraestructura de contadores de rendimiento. El atacante registra cuatro subclaves de registro específicas (Library, Open, Collect y Close) que apuntan a su archivo DLL malicioso.

Cuando se accede al contador de rendimiento, por ejemplo a través de consultas WMI o herramientas de monitoreo, el código malicioso se ejecuta en el contexto de SYSTEM, lo que eleva los privilegios de manera efectiva.

Este enfoque se basa en investigaciones previas sobre la explotación de los contadores de rendimiento, pero lo aplica de forma única en el contexto de los grupos de seguridad predeterminados de Active Directory.

El exploit PoC demuestra cómo un atacante puede lograr este escalamiento elaborando cuidadosamente entradas de registro e implementando una DLL maliciosa. El exploit no requiere la interacción del usuario, lo que lo hace particularmente peligroso en entornos donde Active Directory se implementa ampliamente.

Microsoft abordó esta vulnerabilidad en sus actualizaciones del martes de parches de enero de 2025. El parche modifica los permisos del grupo "Operadores de configuración de red", eliminando su capacidad de crear subclaves bajo claves de registro críticas. Se recomienda encarecidamente a las organizaciones que apliquen esta actualización de inmediato para mitigar los posibles riesgos.

En el caso de los sistemas que no se pueden reparar de inmediato, los administradores deberían considerar restringir la membresía en el grupo "Operadores de configuración de red" y monitorear modificaciones inusuales en el registro o actividad del contador de rendimiento.

Fuente: SeguInfo

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en ...
Leer más

Nueva advertencia crítica de Microsoft Windows mientras se producen 3 ataques de día cero

Imagen
  Actualización, 16 de enero de 2025: Esta historia, publicada originalmente el 15 de enero, ahora incluye una declaración de Microsoft sobre los exploits de día cero de Windows. Como si los usuarios de Windows no tuvieran suficiente de qué preocuparse cuando se trata de problemas de seguridad, desde el próximo fin del   soporte de seguridad para Windows 10   hasta un aumento en los   ciberataques rusos , ahora Microsoft ha confirmado que se están utilizando tres nuevos exploits de día cero en los ciberataques en curso. Esto es lo que necesitas saber. Todos los usuarios de Windows alertados de tres ataques de día cero que ya están en marcha Microsoft ha publicado el último resumen de parches de seguridad de Patch Tuesday, y este mes, es una maravilla:   159 vulnerabilidades,   12 de las cuales son críticas e incluyen no menos de ocho días cero; tres de los cuales ya se sabe que están bajo explotación activa según Microsoft. "Este es definitivamente uno de e...
Leer más

Explotan el día cero de la VPN de Fortinet para robar credenciales

Imagen
  Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024",   explica el informe   . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos...
Leer más