Zero-click PoC LDAP sérülékenység kihasználásához (CVE-2024-49113)

A SafeBreach Labs csapata kiadott egy zero-click proof-of-concept (PoC) exploit-ot a Windows Lightweight Directory Access Protocol (LDAP) protokollt érintő biztonsági hibára, amely szolgáltatásmegtagadást (DoS) eredményezhet. Az out-of-bounds reads sérülékenység CVE-2024-49113 (CVSS pontszám: 7,5) néven követhető nyomon. A Microsoft a 2024. decemberi frissítések részeként kezelte a CVE-2024-49112 (CVSS score: 9.8) hibát, egy ugyanezen komponensben található kritikus integer túlcsordulási hibával együtt, amely távoli kódfuttatást eredményezhet. Mindkét sérülékenységet Yuki Chen (@guhe120) független biztonsági kutatót azonosította és jelentette be.

A SafeBreach Labs által kidolgozott CVE-2024-49113 PoC-t LDAPNightmare-nek nevezték el. Az exploit bármelyik javítatlan Windows Server összeomlását eredményezi ha az áldozat DC DNS-kiszolgálója internetkapcsolattal rendelkezik.

A támadás folyamata:

1. A támadó DCE/RPC-kérést küld az áldozat szerverének.
2. Az áldozat DNS SRV lekérdezést küld a SafeBreachLabs.pro címről.
3. A támadó DNS-kiszolgálója válaszol a támadó gépének hostnevével és LDAP portjával.
4. Az áldozat broadcast NBNS-kérést küld a kapott (támadói) hostnév IP-címének megkeresésére.
5. A támadó NBNS-választ küld a saját IP-címével.
6. Az áldozat LDAP-ügyféllé válik, és CLDAP-kérelmet küld a támadó gépének.
7. A támadó egy CLDAP-referral válaszcsomagot küld egy adott értékkel, aminek eredményeképpen az LSASS összeomlik, és az áldozat kiszolgálójának újraindítását kényszeríti ki.

Az említett sérülékenységek javítását a Microsoft által kiadott 2024. decemberi javítócsomagok tartalmazzák. Ha az azonnali patchelés nem lehetséges, monitorozni kell a gyanús CLDAP referencia válaszokat, DsrGetDcNameEx2 hívásokat és DNS SRV kéréseket.

Forrás