Microsoft ha recentemente pubblicato un avviso di sicurezza riguardante una nuova vulnerabilità che interessa i servizi Active Directory Domain Services (AD DS). La falla, identificata con il codice CVE-2025-21293, è classificata come una vulnerabilità di tipo Elevation of Privilege e, se sfruttata con successo, può consentire a un attaccante di ottenere i privilegi SYSTEM, ovvero il livello più alto di autorizzazione in ambiente Windows.

Si tratta di un problema estremamente rilevante perché i controller di dominio sono il cuore delle infrastrutture aziendali: controllano l’autenticazione, l’autorizzazione e la gestione centralizzata di utenti, gruppi, computer e policy di sicurezza. Un attacco riuscito contro un controller di dominio equivale, in molti casi, al controllo completo dell’intera rete aziendale.

Origine della vulnerabilità

Il bug deriva da controlli di accesso impropri (CWE-284) all’interno di AD DS. In pratica, alcune operazioni non vengono gestite correttamente dal meccanismo di sicurezza del servizio, permettendo a un utente autenticato di eseguire codice con privilegi più elevati del dovuto.

A differenza di altre vulnerabilità che permettono l’accesso remoto senza credenziali, in questo caso l’attaccante deve già disporre di credenziali valide. Queste possono essere ottenute tramite:

• phishing mirato;
• credential stuffing (riutilizzo di password compromesse);
• exfiltrazione di hash NTLM/Kerberos tramite altre tecniche di attacco.

Una volta autenticato, l’attaccante può lanciare un’applicazione appositamente realizzata per sfruttare la falla ed eseguire codice arbitrario a livello SYSTEM.

Gravità e rischi concreti

Microsoft ha classificato la vulnerabilità come “Exploitation Less Likely”, indicando che non è banale da sfruttare. Tuttavia, il rischio rimane altissimo, perché:

• Privilegi SYSTEM permettono di installare malware, rootkit o backdoor difficili da rilevare.
• Un attaccante può creare nuovi account amministrativi con cui mantenere persistenza anche dopo eventuali remediation.
• Un controller di dominio compromesso apre la strada a movimenti laterali all’interno della rete, facilitando il furto di dati, la distribuzione di ransomware o attacchi supply chain interni.
• In scenari peggiori, l’intera forest di Active Directory può essere compromessa, invalidando l’integrità delle identità digitali aziendali.

È bene ricordare che, storicamente, la compromissione di Active Directory è stata uno degli obiettivi principali nei grandi attacchi informatici, proprio per il suo ruolo di “chiave di volta” nell’infrastruttura IT.

La vulnerabilità è emersa alla luce pubblica il 14 gennaio 2025, quando è stata segnalata per la prima volta; da allora Microsoft ha seguito il caso raccogliendo informazioni tecniche e valutando l’impatto. Nel corso dei mesi successivi i ricercatori e i team di sicurezza hanno analizzato il comportamento del bug, e il quadro si è fatto più chiaro solo con l’aggiornamento ufficiale del 9 settembre 2025, in cui Microsoft ha fornito dettagli aggiuntivi e indicazioni operative per le contromisure.

Ad oggi non ci sono prove concrete di exploit pubblici né segnalazioni verificate di attacchi in corso che sfruttino la falla “in the wild”. Questo non significa però che il problema sia trascurabile: il fatto che la vulnerabilità richieda credenziali valide per essere sfruttata riduce la probabilità di attacchi opportunistici, ma non impedisce che attori mirati — gruppi APT o criminali informatici ben organizzati — possano studiarla a fondo per sviluppare un exploit affidabile.

Per le organizzazioni il messaggio è quindi duplice: da un lato c’è un elemento rassicurante — nessuna ondata di sfruttamenti noti al pubblico — dall’altro c’è la necessità di non abbassare la guardia. La sequenza temporale degli eventi mostra che la vulnerabilità è stata presa sul serio e aggiornata con informazioni tecniche, ma rimane responsabilità dei team IT applicare le patch e rafforzare i controlli per evitare che la situazione evolva rapidamente in una minaccia attiva.

Mitigazioni e raccomandazioni di sicurezza

Microsoft ha rilasciato aggiornamenti di sicurezza specifici e invita le organizzazioni a patchare immediatamente i controller di dominio. Oltre alla correzione diretta, è opportuno rafforzare la postura di sicurezza generale:

• Aggiornamenti regolari: mantenere costantemente aggiornati sistema operativo, AD DS e tutti i componenti critici.
• Principio del minimo privilegio: limitare i permessi degli utenti e ridurre il numero di account privilegiati.
• Segmentazione di rete: isolare i controller di dominio in subnet protette e limitarne l’accesso.
• Monitoraggio avanzato: utilizzare SIEM o strumenti di auditing per rilevare comportamenti sospetti (es. creazione improvvisa di account admin).
• Controlli periodici di sicurezza: test di penetrazione e valutazioni di configurazione Active Directory per identificare eventuali debolezze.

Conclusioni

La vulnerabilità CVE-2025-21293 è un campanello d’allarme per tutte le organizzazioni che utilizzano Active Directory come sistema di gestione delle identità. Anche se Microsoft valuta la probabilità di sfruttamento come bassa, l’impatto potenziale è devastante.

In un contesto in cui sempre più attacchi mirano alla compromissione delle infrastrutture di identità, ignorare o rimandare l’applicazione delle patch può esporre l’azienda a rischi enormi. La protezione dei controller di dominio non è solo una misura tecnica, ma una priorità strategica per garantire la sicurezza complessiva dell’organizzazione.

L'articolo Microsoft: bug critico in Active Directory Domain Services. Rischio escalation a SYSTEM proviene da il blog della sicurezza informatica.