Active Directory Domain Services Schwachstelle CVE-2025-21293 zur Privilegienerweiterung

Table of Contents

Im September 2024 entdeckte der Sicherheitsforscher BirkeP eine Sicherheitslücke in Active Directory Domain Services (AD DS), die zur Privilegienerweiterung genutzt werden kann. Die Schwachstelle CVE-2025-21293 wurde durch die Untersuchung der integrierten “Network Configuration Operators”-Gruppe identifiziert, die erweiterte Rechte auf bestimmte Registry-Schlüssel besitzt. Dies ermöglichte es Angreifern, durch das Manipulieren von Performance Counter-Daten Schadcode mit SYSTEM-Rechten auszuführen.

Die “Network Configuration Operators”-Gruppe verfügt standardmäßig über das Recht “CreateSubKey” auf zwei sicherheitsrelevante Registry-Schlüssel: DnsCache und NetBT.

Ein Angreifer kann diese Rechte ausnutzen, um eigene Subkeys zu erstellen, die von Windows für die Verwaltung von Performance Counter-Daten verwendet werden. Indem spezifische Werte für die Registry-Schlüssel Library, Open, Collect und Close gesetzt werden, kann eine manipulierte DLL beim Abruf von Performance Counter-Daten durch PerfMon.exe oder WMI ausgeführt werden.

Proof-of-Concept (PoC)

Der Angreifer registriert eine manipulierte DLL unter dem DnsCache-Registry-Key. Sobald ein Performance Counter abgefragt wird, führt das System den in der DLL hinterlegten Code im Kontext von NT AUTHORITY\SYSTEM aus. Dadurch wird eine lokale Privilegienerweiterung (LPE) erreicht.

Microsoft hat die Schwachstelle mit dem Sicherheitsupdate vom 14. Januar 2025 behoben. Die Rechte der “Network Configuration Operators”-Gruppe wurden angepasst, sodass die erforderliche Kombination aus CreateSubKey und Set Value nicht mehr vorhanden ist, wodurch die ursprüngliche Angriffsmöglichkeit entfällt.

Related Posts

RCE Sicherheitslücken in Canon Laser- und Multifunktionsdruckern entdeckt

Canon hat mehrere Buffer Overflow-Schwachstellen in bestimmten Laser- und Small Office Multifunctional Printers (MFPs) identifiziert. Diese Sicherheitslücken, katalogisiert unter CVE-2024-12647, CVE-2024-12648 und CVE-2024-12649, könnten es Angreifern ermöglichen, beliebigen Code auszuführen oder einen Denial-of-Service (DoS)-Angriff auszulösen, falls die betroffenen Geräte direkt mit dem Internet verbunden sind.

Read More

Datenleck bei Hotelmanagement Plattform Otelier: Millionen persönliche Daten von Hotelgästen gestohlen

Cyberkriminelle haben bei einem Angriff auf die amerikanische Hotelmanagement-Plattform Otelier (ehemals Mydigitaloffice) persönliche Daten von Millionen Hotelgästen entwendet. Die Angreifer nutzten gestohlene Anmeldedaten eines Mitarbeiters, um in den Amazon-S3-Cloudspeicher von Otelier einzudringen. Zwischen Juli und September 2024 konnten sie nahezu acht Terabyte an sensiblen Kundendaten stehlen.

Read More

ChatGPT-4o: Jailbreak-Exploit "Time Bandit"

Das CERT Coordination Center (CERT/CC) hat eine Schwachstelle in ChatGPT-4o entdeckt, die als “Time Bandit” bekannt ist. Dieser Exploit erlaubt es Angreifern, die Sicherheitsmechanismen des KI-Modells zu umgehen und Inhalte zu generieren, die sonst blockiert würden. Der Angriff erfolgt durch gezielte Befragung des Chatbots zu historischen Zeiträumen, wodurch eine sogenannte “Timeline-Confusion” entsteht.

Read More