Всего одного запроса достаточно, чтобы разрушить любую инфраструктуру.
В сети недавно был опубликован PoC-эксплойт для уязвимости в Windows Lightweight Directory Access Protocol (LDAP), исправленной в декабре 2024 года. Уязвимость, обозначенная как CVE-2024-49113 (CVSS 7.5), может приводить к отказу в обслуживании (DoS). Её устранение стало частью декабрьских обновлений Microsoft, наряду с CVE-2024-49112 (CVSS 9.8) — критической уязвимостью целочисленного переполнения, позволяющей выполнять удалённый код.
Обе уязвимости были обнаружены независимым исследователем Юки Ченом (@guhe120). PoC-эксплойт, названный исследователями SafeBreach Labs «LDAPNightmare», может обрушить сервер Windows без дополнительных условий, если DNS-сервер контроллера домена (DC) имеет доступ к интернету.
Для реализации атаки используется DCE/RPC-запрос, отправляемый на сервер-жертву. Это вызывает сбой службы Local Security Authority Subsystem Service (LSASS) и перезагрузку системы. Эксплуатация осуществляется с помощью специально созданного CLDAP-пакета, где значение «lm_referral» отличается от нуля.
Ещё более тревожным является то, что цепочка эксплойтов может быть изменена для выполнения удалённого кода, если скорректировать параметры CLDAP-пакета.
В своём уведомлении Microsoft подтвердила, что CVE-2024-49112 может быть использована через RPC-запросы из ненадёжных сетей для выполнения произвольного кода в контексте LDAP-службы. Успешная эксплуатация требует отправки специального RPC-запроса, инициирующего обращение контроллера домена к домену атакующего.
Для защиты от возможных атак Microsoft рекомендует установить декабрьские обновления безопасности. Если немедленное обновление невозможно, следует внедрить мониторинг подозрительных CLDAP-ответов, DsrGetDcNameEx2-запросов и DNS SRV-запросов.
В сети недавно был опубликован PoC-эксплойт для уязвимости в Windows Lightweight Directory Access Protocol (LDAP), исправленной в декабре 2024 года. Уязвимость, обозначенная как CVE-2024-49113 (CVSS 7.5), может приводить к отказу в обслуживании (DoS). Её устранение стало частью декабрьских обновлений Microsoft, наряду с CVE-2024-49112 (CVSS 9.8) — критической уязвимостью целочисленного переполнения, позволяющей выполнять удалённый код.
Обе уязвимости были обнаружены независимым исследователем Юки Ченом (@guhe120). PoC-эксплойт, названный исследователями SafeBreach Labs «LDAPNightmare», может обрушить сервер Windows без дополнительных условий, если DNS-сервер контроллера домена (DC) имеет доступ к интернету.
Для реализации атаки используется DCE/RPC-запрос, отправляемый на сервер-жертву. Это вызывает сбой службы Local Security Authority Subsystem Service (LSASS) и перезагрузку системы. Эксплуатация осуществляется с помощью специально созданного CLDAP-пакета, где значение «lm_referral» отличается от нуля.
Ещё более тревожным является то, что цепочка эксплойтов может быть изменена для выполнения удалённого кода, если скорректировать параметры CLDAP-пакета.
В своём уведомлении Microsoft подтвердила, что CVE-2024-49112 может быть использована через RPC-запросы из ненадёжных сетей для выполнения произвольного кода в контексте LDAP-службы. Успешная эксплуатация требует отправки специального RPC-запроса, инициирующего обращение контроллера домена к домену атакующего.
Для защиты от возможных атак Microsoft рекомендует установить декабрьские обновления безопасности. Если немедленное обновление невозможно, следует внедрить мониторинг подозрительных CLDAP-ответов, DsrGetDcNameEx2-запросов и DNS SRV-запросов.