安全公司SafeBreach Labs发布“LDAPNightmare”概念验证应用，揭示Windows 10/11系统存在9.8分高危漏洞CVE-2024-49112。该漏洞位于LDAP协议中，攻击者可通过发送特制RPC调用触发恶意LDAP查询，导致服务器崩溃或执行任意代码。微软已于12月10日发布补丁修复此漏洞。攻击流程包括：攻击者发送RPC请求，目标服务器查询攻击者DNS信息，攻击者回复主机名和端口，服务器发送NBNS广播定位，攻击者回复IP地址，服务器作为LDAP客户端发送CLDAP请求，攻击者发送恶意引用导致LSASS崩溃。建议受影响组织立即安装补丁，并监控可疑行为。

⚠️ **高危漏洞：** SafeBreach Labs 发现Windows 10/11系统存在名为“LDAPNightmare”的9.8分高危漏洞，编号为CVE-2024-49112，属于“关键”级别，该漏洞允许攻击者通过发送特制的RPC调用触发恶意LDAP查询，从而导致服务器崩溃或执行任意代码。

📡 **攻击流程：** 攻击者首先向目标服务器发送DCE/RPC请求，服务器会向攻击者的DNS服务器查询信息。攻击者回复主机名和LDAP端口后，服务器会发送NBNS广播定位攻击者主机名，随后攻击者回复其IP地址，服务器会成为LDAP客户端向攻击者发送CLDAP请求，最终攻击者发送恶意引用响应，导致LSASS崩溃并重启服务器。

🛡️ **修复建议：** 微软已于2024年12月10日发布补丁修复该漏洞。所有受影响的组织应立即应用微软的补丁。在完成补丁安装前，应密切监视可疑的DNS SRV查询、CLDAP引用响应和DsrGetDcNameEx2调用。同时，建议使用SafeBreach Labs在GitHub上发布的PoC工具测试环境，验证防御措施的有效性。

IT之家 1 月 2 日消息，科技媒体 cybersecuritynews 今天（1 月 2 日）发布博文，报道称安全公司 SafeBreach Labs 发布了名为“LDAPNightmare”的概念验证（PoC）应用，演示了 Windows 10、Windows 11 系统中存在的 9.8 分高危漏洞。

该漏洞追踪编号为 CVE-2024-49112，CVSS 评分为 9.8 分，属于“关键”级别，微软已经于 2024 年 12 月 10 日补丁星期二活动日，面向 Windows 10、Windows 11、Windows Server 系统发布累积更新，修复了该漏洞。

该漏洞存在于 Windows Lightweight Directory Access Protocol（LDAP）协议中，攻击者发送特制 RPC 调用触发恶意 LDAP 查询，导致服务器崩溃或执行任意代码。

IT之家援引该媒体报道，附上 SafeBreach Labs 的 PoC 漏洞利用程序攻击流程如下：

攻击者向目标服务器发送 DCE / RPC 请求。

目标服务器向攻击者的 DNS 服务器查询信息。

攻击者回复主机名和 LDAP 端口。

目标服务器发送 NBNS 广播定位攻击者的主机名。

攻击者回复其 IP 地址。

目标服务器成为 LDAP 客户端，向攻击者的机器发送 CLDAP 请求。

攻击者发送恶意引用响应，导致 LSASS（本地安全机构子系统服务）崩溃并重启服务器。

微软已在 2024 年 12 月的周二补丁更新中发布了针对此漏洞的补丁。建议所有受影响的组织：

立即应用微软的补丁。

在完成补丁程序安装之前，密切监视可疑的 DNS SRV 查询、CLDAP 引用响应和 DsrGetDcNameEx2 调用。

使用 SafeBreach Labs 在 GitHub 上发布的 PoC 工具测试环境，验证防御措施的有效性。