SafeBreach 发布了概念验证 (PoC) 漏洞代码,针对 Windows 轻量级目录访问协议 (LDAP) 中最近解决的拒绝服务 (DoS) 漏洞。
该问题被编号为 CVE-2024-49113(CVSS 评分为 7.5),已于 12 月 10 日得到修补,同时修补的还有 LDAP 中的一个严重远程代码执行 (RCE) 漏洞(CVE-2024-49112,CVSS 评分为 9.8)。
这两个缺陷都还未被标记为已被利用,但微软警告称,RCE 漏洞可能允许未经身份验证的攻击者使用精心设计的 LDAP 调用执行任意代码,并敦促管理员断开域控制器与互联网的连接以减轻暴露。
然而,SafeBreach 建议对 DoS 漏洞给予同等程度的关注,因为如果目标域控制器的 DNS 服务器连接到互联网,该漏洞可能会被利用来导致未修补的 Windows Server 部署崩溃。
这家提供漏洞和攻击模拟平台的网络安全公司设计了针对 CVE-2024-49113 的漏洞代码,但只需稍加修改,它也可能用于攻击 RCE 漏洞。
攻击流程从 向目标服务器发送 DCE/RPC 请求开始,目标服务器以 DNS SRV 查询进行响应。攻击者的机器发送包含主机名和 LDAP 端口的 DNS 服务器响应后,受害者会发送广播 NBNS 请求以获取机器的 IP 地址,在收到 IP 地址后,受害者会成为 LDAP 客户端并向攻击者发送 CLDAP 请求。
最后,攻击者发送一个精心设计的 CLDAP 引用响应包,该包会导致本地安全机构子系统服务 (LSASS) 进程崩溃并强制受害服务器重新启动。
SafeBreach 指出:“我们认为可以利用相同的攻击媒介来实现 RCE;上面提到的整个链条,包括前六个步骤,应该是相似的,但最后发送的 CLDAP 数据包应该被修改。”
该网络安全公司指出,任何未修补的 Windows 服务器(包括非域控制器的服务器)都可能利用此漏洞崩溃,并且攻击者随后可能会实现 RCE。
SafeBreach 表示,CVE-2024-49113 是 wldap32.dll(实现 LDAP 客户端逻辑的库)中的一个整数溢出缺陷,其 PoC 代码不适用于已修补的服务器。
该公司指出:“虽然我们的研究重点是 Windows Server 2022(DC)和 Windows Server 2019(非 DC)的测试,但我们相信这种漏洞利用路径和 PoC 适用于补丁点之前的任何 Windows Server 版本。”
建议管理员尽快应用可用的补丁。12 月 10 日,微软发布了针对 70 多个漏洞的修复程序,其中包括一个被利用的 Windows 零日漏洞。
