Active Directory под угрозой: уроки SolarWinds и новая уязвимость CVE-2025-21293

Угрозы для Active Directory: уроки из SolarWinds и новые уязвимости, такие как CVE-2025-21293

Атака на SolarWinds в 2020 году, известная как операция SUNBURST, стала одним из самых громких примеров того, как сложные и многоступенчатые атаки могут привести к серьёзным последствиям для безопасности инфраструктуры, в том числе для Active Directory (AD). Несмотря на то, что этот инцидент произошёл несколько лет назад, угрозы для безопасности остаются актуальными. В то время как мир уже осознал масштабы атаки, уязвимости, подобные CVE-2025-21293, продолжают напоминать, что риски остаются и даже эволюционируют.

Нападение SolarWinds: уроки из прошлого

В 2020 году злоумышленники внедрили вредоносный код в обновления программного обеспечения SolarWinds Orion, используемого для мониторинга сетей. Это позволило им получить доступ к более чем 200 организациям по всему миру, включая правительства, корпорации и международные организации. Злоумышленники использовали уязвимость в SolarWinds Orion для того, чтобы скрыто установить связи с целевыми системами, а затем применили уязвимость Zerologon для получения полного контроля над контроллерами домена в Active Directory.

Zerologon — это уязвимость в протоколе Netlogon (CVE-2020-1472), обнаруженная в августе 2020 года. Она позволяет злоумышленнику без аутентификации установить связь с контроллером домена Windows и эскалировать привилегии до уровня администратора домена.

Ключевые этапы атаки SolarWinds:

1. Компрометация через SolarWinds Orion:

Вредоносный код, встроенный в обновления ПО, скрывался в течение нескольких недель и начал активироваться только спустя время, что позволило избежать раннего обнаружения.

2. Эскалация привилегий через Zerologon:

Использование уязвимости в протоколе NetLogon позволило злоумышленникам обойти аутентификацию и получить доступ ко всем учетным записям и контроллерам домена в AD.

3. Подмена пользователей через SAML:

Атакующие использовали компрометированные сертификаты для подписания SAML-токенов, что позволило им masquerading как доверенные пользователи, получая доступ к системам, включая Azure AD.

Последствия:

Атака SolarWinds продемонстрировала уязвимости в цепочке поставок и показала, насколько уязвимы критические компоненты, такие как Active Directory, к хорошо спланированным и скрытым атакам. Этот инцидент стал важным сигналом о необходимости усиленной защиты инфраструктуры.

Новая угроза: CVE-2025-21293 в Active Directory

Хотя атака SolarWinds была важным уроком, она не должна вводить в заблуждение: угроза для безопасности инфраструктуры AD по-прежнему существует и даже эволюционирует. В 2025 году была раскрыта новая критическая уязвимость — CVE-2025-21293 в Active Directory Domain Services (AD DS), которая позволяет злоумышленникам повышать привилегии до уровня SYSTEM. Это подчеркивает, что угрозы для безопасности не исчезают с течением времени, и новые уязвимости могут быть использованы для обхода современных механизмов защиты.

Технический анализ уязвимости CVE-2025-21293:

1. Злоупотребление правами группы "Network Configuration Operators":

Злоумышленники могли использовать эту группу для создания записей в реестре, что позволяло регистрировать вредоносные динамические библиотеки (DLL).

2. Модификация реестра и использование Performance Counters:

Вредоносные DLL могли быть выполнены через механизм Performance Counters, что предоставляло злоумышленникам привилегии SYSTEM.

3. Эскалация привилегий:

Получив доступ с привилегиями SYSTEM, злоумышленники могли обходить многие механизмы безопасности и контролировать критичные элементы системы.

Не стоит расслабляться: новые угрозы остаются актуальными

Несмотря на то, что атака на SolarWinds произошла уже несколько лет назад, она стала лишь одним из примеров того, как высокоорганизованные злоумышленники могут использовать уязвимости для компрометации Active Directory. Уязвимости, такие как CVE-2025-21293, напоминают нам о том, что угрозы продолжают развиваться, и новые уязвимости могут открывать доступ к самым защищённым системам.

Рекомендации по защите:

• Постоянный мониторинг и анализ: Важно регулярно анализировать и отслеживать изменения в Active Directory, а также использовать инструменты для выявления аномальной активности.
• Обновления безопасности: Регулярное применение обновлений для всех компонентов, включая серверы и приложения, помогает закрывать уязвимости, которые могут быть использованы злоумышленниками.
• Ограничение прав доступа: Минимизация прав для пользователей и групп с высокими привилегиями, таких как Network Configuration Operators, значительно снижает риски.
• Многофакторная аутентификация: Внедрение многофакторной аутентификации в инфраструктуре Active Directory может существенно повысить безопасность, даже если злоумышленники получат доступ к учетным данным.

Хотя атака на SolarWinds была громким инцидентом, который выявил критические уязвимости, новые угрозы, такие как CVE-2025-21293, показывают, что угроза для безопасности Active Directory остаётся актуальной. Не стоит расслабляться — необходима постоянная готовность к защите, своевременные обновления и внимательное управление правами доступа.

После атак вроде SolarWinds и новых угроз, таких как CVE-2025-21293, умение защищать AD — критический навык для ИБ-специалистов.

Повышайте уровень кибербезопасности с практическим курсом по Active Directory!

🔐 Курс «Анализ защищенности инфраструктуры на основе Active Directory»
📅 Старт 29 мая | 4 месяца + экзамен | Записаться

Что вас ждет?

• Разбор реальных техник атак на Active Directory

• Практика в лаборатории с 30+ виртуальными машинами

• Более 100 рабочих тасков для отработки навыков

• Подготовка к сертификации и защита инфраструктуры

Успейте записаться! 👉 https://ad.codeby.school/