Um exploit de prova de conceito (PoC) foi divulgado para uma falha de segurança que já foi corrigida e afeta o Protocolo de Acesso ao Diretório Leve do Windows (LDAP), que poderia provocar uma condição de negação de serviço (DoS).
A vulnerabilidade de leituras fora dos limites é rastreada como
CVE-2024-49113
(pontuação CVSS: 7.5).
Ela foi corrigida pela Microsoft como parte das atualizações de terça-feira de patches de dezembro de 2024, junto com CVE-2024-49112 (pontuação CVSS: 9.8), uma falha crítica de estouro de inteiro no mesmo componente que poderia resultar em execução remota de código.
A descoberta e notificação de ambas as vulnerabilidades são creditadas ao pesquisador de segurança independente Yuki Chen (@guhe120).
O PoC do
CVE-2024-49113
, criado pela SafeBreach Labs e apelidado de LDAPNightmare, é projetado para travar qualquer servidor Windows não atualizado "sem pré-requisitos exceto que o servidor DNS do DC da vítima tenha conectividade com a Internet."
Especificamente, envolve o envio de uma solicitação DCE/RPC ao servidor vítima, causando, por fim, o travamento do Serviço de Subsistema de Autoridade de Segurança Local (LSASS) e forçando uma reinicialização quando um pacote CLDAP de resposta de encaminhamento especialmente elaborado.
Ainda pior, a empresa de cibersegurança baseada na Califórnia descobriu que a mesma cadeia de exploits também poderia ser usada para alcançar execução remota de código (CVE-2024-49112) modificando o pacote CLDAP.
O aviso da Microsoft para o
CVE-2024-49113
é escasso em detalhes técnicos, mas o fabricante do Windows revelou que o CVE-2024-49112 poderia ser explorado enviando solicitações RPC de redes não confiáveis para executar código arbitrário dentro do contexto do serviço LDAP.
"No contexto de explorar um controlador de domínio para um servidor LDAP, para ser bem-sucedido, um invasor deve enviar chamadas RPC especialmente elaboradas para o alvo para acionar uma pesquisa do domínio do invasor a ser realizada para ter sucesso", disse a Microsoft.
No contexto de explorar um aplicativo cliente LDAP, para ser bem-sucedido, um invasor deve convencer ou enganar a vítima a realizar uma pesquisa de controlador de domínio para o domínio do invasor ou a se conectar a um servidor LDAP malicioso.
No entanto, chamadas RPC não autenticadas não teriam sucesso.
Além disso, um invasor poderia usar uma conexão RPC com um controlador de domínio para acionar operações de pesquisa de controlador de domínio contra o domínio do invasor, observou a empresa.
Para mitigar o risco representado por essas vulnerabilidades, é essencial que as organizações apliquem os patches de dezembro de 2024 lançados pela Microsoft.
Em situações onde a correção imediata não é possível, é aconselhado "implementar detecções para monitorar respostas de encaminhamento CLDAP suspeitas (com o valor malicioso específico definido), chamadas DsrGetDcNameEx2 suspeitas e consultas SRV DNS suspeitas."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...