A Microsoft corrigiu uma nova falha de elevação de privilégio no Active Directory Domain Services, identificada como CVE-2025-21293, em sua atualização de segurança de janeiro de 2025. Descoberta pelo pesquisador Sebastian Sadeq Birke, essa vulnerabilidade permite que atacantes elevem seus privilégios ao nível SYSTEM, explorando configurações inadequadas de grupos de segurança padrão do Active Directory e mecanismos de monitoramento de desempenho do Windows. O problema está no grupo Network Configuration Operators, um grupo de segurança criado automaticamente ao configurar controladores de domínio locais.

Esse grupo foi projetado para conceder aos usuários controle sobre interfaces de rede sem fornecer permissões administrativas completas. No entanto, Birke descobriu que a Microsoft deixou privilégios excessivos nesse grupo, permitindo que ele criasse subchaves de registro para serviços críticos do sistema. Isso inclui acesso ao DnsCache (serviço de cliente DNS) e ao NetBT (serviço NetBIOS sobre TCP/IP), criando uma brecha para que invasores explorem o sistema e elevem seus privilégios.

A exploração da falha acontece por meio dos Windows Performance Counters, um recurso que permite a aplicações e serviços registrarem rotinas de monitoramento via PerfMon.exe ou Windows Management Instrumentation (WMI). Usando esse mecanismo, um atacante pode injetar código malicioso e obter controle total do sistema. A Microsoft lançou a correção para essa falha no dia 14 de janeiro de 2025. Empresas e administradores de TI que utilizam o Active Directory Domain Services devem instalar a atualização o mais rápido possível para evitar possíveis explorações. A falha representa um risco significativo para redes corporativas, e a aplicação imediata do patch é essencial para garantir a segurança dos sistemas.