SafeBreach 实验室揭示了 Windows Lightweight Directory Access Protocol (LDAP) 服务中的一个零点击漏洞,该漏洞被称为 “LDAP 恶梦”。这个关键漏洞被追踪为 CVE-2024-49112,CVSS 得分为 9.8,凸显了它对企业网络的严重影响。SafeBreach 研究人员演示了该漏洞如何使未打补丁的 Windows 服务器(包括 Active Directory 域控制器 (DC))崩溃。CVE-2024-49112是LDAP中的一个远程代码执行(RCE)漏洞,于2024年12月10日在微软补丁星期二期间首次披露。LDAP 是微软活动目录(Active Directory)中不可或缺的部分,它促进了跨组织网络的目录服务通信。SafeBreach 实验室团队强调说:“在 DC 上运行代码或通过 DC 提升用户权限的能力会严重影响网络安全态势。”虽然微软承认存在风险,但在 SafeBreach 进行分析之前,有关利用路径的细节仍然很少。研究人员指出:“我们团队决定优先处理这一问题,并为我们的发现感到自豪,这些发现将帮助企业解决任何潜在的风险。”SafeBreach 开发了一个概念验证(PoC)漏洞,演示了 CVE-2024-49112 漏洞的破坏性影响。他们的研究结果表明:除了 DNS 服务器的互联网连接外,不需要任何验证或先决条件。可通过 LDAP 查询触发 LSASS(本地安全授权子系统服务)崩溃,从而使未打补丁的 Windows 服务器崩溃。利用过程包括:攻击流程 SafeBreach 实验室向受害者服务器发送 DCE/RPC 请求。触发有关攻击者控制域(如 SafeBreachLabs.pro)的 DNS SRV 查询。操纵 NetBIOS 和 CLDAP 响应,将受害者重定向到攻击者的 LDAP 服务器。使用伪造的 LDAP 转发响应,使受害者的 LSASS 崩溃并强制重启。SafeBreach 在调查结果中强调了这一技术: “条件检查’lm_referral’值是否在’转介表’的范围内。在未打补丁的漏洞版本中,该’lm_referral’值确实被用于访问推荐表内的某个偏移量。”该漏洞影响所有未打补丁的 Windows Server 版本,从 Windows Server 2019 到 2022。利用该漏洞可能会使对手完全控制域资源或使关键基础设施崩溃。为了降低风险,企业应该:立即应用微软的补丁。经 SafeBreach 验证,该补丁可有效防止漏洞利用。监控可疑活动,如异常的 CLDAP 引用响应、DsrGetDcNameEx2 调用或 DNS SRV 查询。SafeBreach 还发布了针对 CVE-2024-49112 测试易受攻击 Windows Server 的 PoC 工具,该工具可在其 GitHub 存储库中获取。
