Kritik Active Directory Alan Hizmetleri Güvenlik Açığı Yüksekliği olan CVE-2025-21293 için bir kavram kanıtı (POC) istismar kodu yayınlandı.
Eylül 2024’te keşfedilen ve Ocak 2025’te yamalı olan bu güvenlik açığı, saldırganların bir aktif dizin ortamında sistem düzeyinde ayrıcalıklar kazanmasına izin verme potansiyeli nedeniyle endişeleri artırmıştır.
Güvenlik açığı, Active Directory’de az bilinen yerleşik bir güvenlik grubu olan “Ağ Yapılandırma Operatörleri” grubuyla ilgili bir soruşturma sırasında tanımlandı.
Tam idari hakları olmayan kullanıcılara sınırlı ağ yapılandırma ayrıcalıkları vermeyi amaçlayan bu grubun, hassas kayıt defteri anahtarları üzerinde aşırı izinlere sahip olduğu bulunmuştur. Özellikle, altyapların oluşturulmasına izin verdi. DnsCache Ve NetBT Kayıt Defteri Anahtarları.
Kilit sorun, bu izinlerin Windows performans sayaçlarını manipüle etme yeteneği ile birleşmesinde yatmaktadır. Windows, sistem ve uygulama performansını izlemek için performans sayaçlarını kullanıyor, ancak araştırmacı Birkep, DLL’ler aracılığıyla özel kod yürütmek için bir mekanizma sağlıyor.
“Ağ Yapılandırma Operatörleri” grubunun izinlerinden yararlanarak, bir saldırgan kötü amaçlı performans sayacı DLL’leri kaydedebilir. DnsCache Servis Kayıt Defteri Anahtarı. Kayıt edildikten sonra, bu DLL’ler gibi araçlar tarafından sorgulandığında sistem düzeyinde ayrıcalıklarla yürütülebilir. PerfMon.exe veya WMI.
Performans sayaçlarının silahlandırılması
İstismar, Windows’un performans karşı altyapısının bir parçası olarak özel DLL’leri yükleme ve yürütme yeteneğinden yararlanır. Saldırgan dört özel kayıt defteri subkeyini kaydeder –Library– Open– CollectVe Close– Kötü niyetli DLL’lerini belirtmek.
WMI sorguları veya izleme araçları gibi performans sayacı erişildiğinde, kötü amaçlı kod sistem bağlamında yürütülür ve ayrıcalıkları etkili bir şekilde yükseltir.
Bu yaklaşım, performans sayaçlarından yararlanmakla ilgili önceki araştırmalara dayanmaktadır, ancak Active Directory’nin varsayılan güvenlik grupları bağlamında benzersiz bir şekilde uygular.
CVE-2025-21293’e, yüksek şiddetini yansıtan 8.8 CVSS skoru atandı. Başarılı sömürü, düşük ayrıcalıklara sahip saldırganların, etkilenen sistemler üzerindeki sistem düzeyinde kontrole erişimlerini artırmalarını sağlar. Bu, hassas verilere yetkisiz erişim sağlayabilir veya bir ağ içindeki yanal hareketi kolaylaştırabilir.
POC istismarı, bir saldırganın kayıt defteri girişlerini dikkatlice hazırlayarak ve kötü niyetli bir DLL dağıtarak bu yükselişe nasıl ulaşabileceğini gösterir. İstismar, kullanıcı etkileşimi gerektirmez, bu da Active Directory’nin yaygın olarak dağıtıldığı ortamlarda özellikle tehlikeli hale getirir.
Microsoft bu güvenlik açığını Ocak 2025 Patch Salı güncellemelerinde ele aldı. Yama, “Ağ Yapılandırma Operatörleri” grubunun izinlerini değiştirerek kritik kayıt defteri anahtarları altında subkeyler oluşturma yeteneğini kaldırır. Kuruluşlara potansiyel riskleri azaltmak için bu güncellemeyi derhal uygulamaları şiddetle tavsiye edilir.
Hemen yamalanamayan sistemler için, yöneticiler “ağ yapılandırma operatörleri” grubundaki üyeliği kısıtlamayı ve olağandışı kayıt defteri değişiklikleri veya performans karşı etkinlikleri için izlemeyi düşünmelidir.
CVE-2025-21293 için bir POC istismarının piyasaya sürülmesi, proaktif güvenlik önlemlerinin öneminin ve kurumsal ortamlarda zamanında yama yapmanın altını çizmektedir. Bu güvenlik açığı, varsayılan güvenlik gruplarındaki görünüşte küçük yanlış yapılandırmaların diğer sistem özellikleriyle birleştirildiğinde nasıl ciddi sonuçlara yol açabileceğini vurgulamaktadır.
Kuruluşlar kimlik yönetimi için Active Directory’ye güvenmeye devam ettikçe, bu tür güvenlik açıklarını anlamak ve ele almak çok önemlidir. Güvenlik ekipleri uyanık kalmalı, derhal yamalar uygulamalı ve bu istismarla ilgili uzlaşma göstergelerini izlemelidir.
Are you from SOC/DFIR Teams? – Analyse Malware Files & Links with ANY.RUN Sandox -> Start Now for Free.