Microsoft: bug critico in Active Directory Domain Services. Rischio escalation a SYSTEM

Microsoft ha recentemente pubblicato un avviso di sicurezza riguardante una nuova vulnerabilità che interessa i servizi Active Directory Domain Services (AD DS). La falla, identificata con il codice CVE-2025-21293, è classificata come una vulnerabilità di tipo Elevation of Privilege e, se sfruttata con successo, può consentire a un attaccante di ottenere i privilegi SYSTEM, ovvero il livello più alto di autorizzazione in ambiente Windows.

Si tratta di un problema estremamente rilevante perché i controller di dominio sono il cuore delle infrastrutture aziendali: controllano l’autenticazione, l’autorizzazione e la gestione centralizzata di utenti, gruppi, computer e policy di sicurezza. Un attacco riuscito contro un controller di dominio equivale, in molti casi, al controllo completo dell’intera rete aziendale.

Origine della vulnerabilità

Il bug deriva da controlli di accesso impropri (CWE-284) all’interno di AD DS. In pratica, alcune operazioni non vengono gestite correttamente dal meccanismo di sicurezza del servizio, permettendo a un utente autenticato di eseguire codice con privilegi più elevati del dovuto.

A differenza di altre vulnerabilità che permettono l’accesso remoto senza credenziali, in questo caso l’attaccante deve già disporre di credenziali valide. Queste possono essere ottenute tramite:

• phishing mirato;
• credential stuffing (riutilizzo di password compromesse);
• exfiltrazione di hash NTLM/Kerberos tramite altre tecniche di attacco.

Una volta autenticato, l’attaccante può lanciare un’applicazione appositamente realizzata per sfruttare la falla ed eseguire codice arbitrario a livello SYSTEM.

Gravità e rischi concreti

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Microsoft ha classificato la vulnerabilità come “Exploitation Less Likely”, indicando che non è banale da sfruttare. Tuttavia, il rischio rimane altissimo, perché:

• Privilegi SYSTEM permettono di installare malware, rootkit o backdoor difficili da rilevare.
• Un attaccante può creare nuovi account amministrativi con cui mantenere persistenza anche dopo eventuali remediation.
• Un controller di dominio compromesso apre la strada a movimenti laterali all’interno della rete, facilitando il furto di dati, la distribuzione di ransomware o attacchi supply chain interni.
• In scenari peggiori, l’intera forest di Active Directory può essere compromessa, invalidando l’integrità delle identità digitali aziendali.

È bene ricordare che, storicamente, la compromissione di Active Directory è stata uno degli obiettivi principali nei grandi attacchi informatici, proprio per il suo ruolo di “chiave di volta” nell’infrastruttura IT.

La vulnerabilità è emersa alla luce pubblica il 14 gennaio 2025, quando è stata segnalata per la prima volta; da allora Microsoft ha seguito il caso raccogliendo informazioni tecniche e valutando l’impatto. Nel corso dei mesi successivi i ricercatori e i team di sicurezza hanno analizzato il comportamento del bug, e il quadro si è fatto più chiaro solo con l’aggiornamento ufficiale del 9 settembre 2025, in cui Microsoft ha fornito dettagli aggiuntivi e indicazioni operative per le contromisure.

Ad oggi non ci sono prove concrete di exploit pubblici né segnalazioni verificate di attacchi in corso che sfruttino la falla “in the wild”. Questo non significa però che il problema sia trascurabile: il fatto che la vulnerabilità richieda credenziali valide per essere sfruttata riduce la probabilità di attacchi opportunistici, ma non impedisce che attori mirati — gruppi APT o criminali informatici ben organizzati — possano studiarla a fondo per sviluppare un exploit affidabile.

Per le organizzazioni il messaggio è quindi duplice: da un lato c’è un elemento rassicurante — nessuna ondata di sfruttamenti noti al pubblico — dall’altro c’è la necessità di non abbassare la guardia. La sequenza temporale degli eventi mostra che la vulnerabilità è stata presa sul serio e aggiornata con informazioni tecniche, ma rimane responsabilità dei team IT applicare le patch e rafforzare i controlli per evitare che la situazione evolva rapidamente in una minaccia attiva.

Mitigazioni e raccomandazioni di sicurezza

Microsoft ha rilasciato aggiornamenti di sicurezza specifici e invita le organizzazioni a patchare immediatamente i controller di dominio. Oltre alla correzione diretta, è opportuno rafforzare la postura di sicurezza generale:

• Aggiornamenti regolari: mantenere costantemente aggiornati sistema operativo, AD DS e tutti i componenti critici.
• Principio del minimo privilegio: limitare i permessi degli utenti e ridurre il numero di account privilegiati.
• Segmentazione di rete: isolare i controller di dominio in subnet protette e limitarne l’accesso.
• Monitoraggio avanzato: utilizzare SIEM o strumenti di auditing per rilevare comportamenti sospetti (es. creazione improvvisa di account admin).
• Controlli periodici di sicurezza: test di penetrazione e valutazioni di configurazione Active Directory per identificare eventuali debolezze.

Conclusioni

La vulnerabilità CVE-2025-21293 è un campanello d’allarme per tutte le organizzazioni che utilizzano Active Directory come sistema di gestione delle identità. Anche se Microsoft valuta la probabilità di sfruttamento come bassa, l’impatto potenziale è devastante.

In un contesto in cui sempre più attacchi mirano alla compromissione delle infrastrutture di identità, ignorare o rimandare l’applicazione delle patch può esporre l’azienda a rischi enormi. La protezione dei controller di dominio non è solo una misura tecnica, ma una priorità strategica per garantire la sicurezza complessiva dell’organizzazione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Antonio Piazzolla

Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.