Objavljen je eksploat za dokaz koncepta (PoC) za sada zakrpljenu sigurnosnu grešku koja utiče na Windows Lightweight Directory Access Protocol (LDAP) i koja bi mogla pokrenuti stanje uskraćivanja usluge (DoS).
Ranjivost čitanja van granica se prati kao CVE-2024-49113 (CVSS rezultat: 7,5). Microsoft ga je riješio kao dio ažuriranja zakrpa u utorak za decembar 2024., zajedno sa CVE-2024-49112 (CVSS rezultat: 9,8), kritičnom nedostatkom prekoračenja cijelog broja u istoj komponenti koja bi mogla rezultuje daljinskim izvršavanjem koda.
Za otkrivanje i prijavljivanje obje ranjivosti zaslužan je nezavisni istraživač sigurnosti Yuki Chen ( @guhe120 ).
CVE-2024-49113 PoC koji je osmislila SafeBreach Labs, kodnog naziva LDAPNightmare , dizajniran je da sruši bilo koji Windows Server bez zakrpe “bez preduslova osim da DNS server žrtve DC ima internet konekciju.”
Konkretno, to podrazumijeva slanje DCE/RPC zahtjeva serveru žrtve, što u konačnici uzrokuje pad usluge lokalnog sigurnosnog autoriteta (LSASS) i prisilno ponovno pokretanje kada posebno kreiran CLDAP paket odgovora preporuke sa vrijednošću koja nije nula za “lm_referral” je poslano.
Što je još gore, kompanija za cyber bezbjednost sa sjedištem u Kaliforniji otkrila je da se isti lanac eksploatacije takođe može iskoristiti za postizanje daljinskog izvršavanja koda (CVE-2024-49112) modifikacijom CLDAP paketa.
Microsoftov savjet za CVE-2024-49113 oslanja se na tehničke detalje, ali proizvođač Windows-a je otkrio da bi CVE-2024-49112 mogao biti iskorišten slanjem RPC zahtjeva iz nepouzdanih mreža za izvršavanje proizvoljnog koda u kontekstu LDAP usluge.
“U kontekstu iskorištavanja kontrolera domena za LDAP server, da bi bio uspješan, napadač mora poslati posebno izrađene RPC pozive cilju kako bi pokrenuo traženje domena napadača da bi bio uspješan”, rekao je Microsoft .
“U kontekstu iskorištavanja LDAP klijentske aplikacije, da bi bio uspješan, napadač mora uvjeriti ili prevariti žrtvu da izvrši traženje kontrolera domene za domen napadača ili da se poveže sa malicioznim LDAP serverom. Međutim, neautorizirani RPC pozivi ne bi uspjeli. “
Osim toga, napadač bi mogao koristiti RPC vezu sa kontrolerom domene da pokrene operacije traženja kontrolera domena na domenu napadača, napominje kompanija.
Da bi se ublažio rizik koji predstavljaju ove ranjivosti, od suštinske je važnosti da organizacije primjene zakrpe iz decembra 2024. koje je objavio Microsoft. U situacijama u kojima trenutno zakrpe nije moguće, savjetuje se da se “implementiraju detekcije za nadgledanje sumnjivih CLDAP referalnih odgovora (sa određenom zlonamjernom vrijednošću), sumnjivih DsrGetDcNameEx2 poziva i sumnjivih DNS SRV upita.”
Izvor:The Hacker News
