Im September 2024 entdeckte der Sicherheitsforscher BirkeP eine Sicherheitslücke in Active Directory Domain Services (AD DS), die zur Privilegienerweiterung genutzt werden kann. Die Schwachstelle CVE-2025-21293 wurde durch die Untersuchung der integrierten „Network Configuration Operators“-Gruppe identifiziert, die erweiterte Rechte auf bestimmte Registry-Schlüssel besitzt. Dies ermöglichte es Angreifern, durch das Manipulieren von Performance Counter-Daten Schadcode mit SYSTEM-Rechten auszuführen.
Die „Network Configuration Operators“-Gruppe verfügt standardmäßig über das Recht „CreateSubKey“ auf zwei sicherheitsrelevante Registry-Schlüssel: DnsCache und NetBT.
Ein Angreifer kann diese Rechte ausnutzen, um eigene Subkeys zu erstellen, die von Windows für die Verwaltung von Performance Counter-Daten verwendet werden. Indem spezifische Werte für die Registry-Schlüssel Library, Open, Collect und Close gesetzt werden, kann eine manipulierte DLL beim Abruf von Performance Counter-Daten durch PerfMon.exe oder WMI ausgeführt werden.
Proof-of-Concept (PoC)
Der Angreifer registriert eine manipulierte DLL unter dem DnsCache-Registry-Key. Sobald ein Performance Counter abgefragt wird, führt das System den in der DLL hinterlegten Code im Kontext von NT AUTHORITY\SYSTEM aus. Dadurch wird eine lokale Privilegienerweiterung (LPE) erreicht.
Microsoft hat die Schwachstelle mit dem Sicherheitsupdate vom 14. Januar 2025 behoben. Die Rechte der „Network Configuration Operators“-Gruppe wurden angepasst, sodass die erforderliche Kombination aus CreateSubKey und Set Value nicht mehr vorhanden ist, wodurch die ursprüngliche Angriffsmöglichkeit entfällt.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: