LDAPNightmare: опубликован эксплойт критической уязвимости Windows

leer en español

LDAPNightmare: опубликован эксплойт критической уязвимости Windows

Всего одного запроса достаточно, чтобы разрушить любую инфраструктуру.

image

В сети недавно был опубликован PoC-эксплойт для уязвимости в Windows Lightweight Directory Access Protocol (LDAP), исправленной в декабре 2024 года. Уязвимость, обозначенная как CVE-2024-49113 (CVSS 7.5), может приводить к отказу в обслуживании (DoS). Её устранение стало частью декабрьских обновлений Microsoft, наряду с CVE-2024-49112 (CVSS 9.8) — критической уязвимостью целочисленного переполнения, позволяющей выполнять удалённый код.

Обе уязвимости были обнаружены независимым исследователем Юки Ченом (@guhe120). PoC-эксплойт, названный исследователями SafeBreach Labs «LDAPNightmare», может обрушить сервер Windows без дополнительных условий, если DNS-сервер контроллера домена (DC) имеет доступ к интернету.

Для реализации атаки используется DCE/RPC-запрос, отправляемый на сервер-жертву. Это вызывает сбой службы Local Security Authority Subsystem Service (LSASS) и перезагрузку системы. Эксплуатация осуществляется с помощью специально созданного CLDAP-пакета, где значение «lm_referral» отличается от нуля.

Ещё более тревожным является то, что цепочка эксплойтов может быть изменена для выполнения удалённого кода, если скорректировать параметры CLDAP-пакета.

В своём уведомлении Microsoft подтвердила, что CVE-2024-49112 может быть использована через RPC-запросы из ненадёжных сетей для выполнения произвольного кода в контексте LDAP-службы. Успешная эксплуатация требует отправки специального RPC-запроса, инициирующего обращение контроллера домена к домену атакующего.

Для защиты от возможных атак Microsoft рекомендует установить декабрьские обновления безопасности. Если немедленное обновление невозможно, следует внедрить мониторинг подозрительных CLDAP-ответов, DsrGetDcNameEx2-запросов и DNS SRV-запросов.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь