HackerNews 编译,转载请注明出处:
针对一个已修复、影响Windows轻量级目录访问协议(LDAP)的安全漏洞,现已发布了一个概念验证(PoC)攻击代码,该漏洞可能触发拒绝服务(DoS)状况。
该越界读取漏洞被追踪为CVE-2024-49113(CVSS评分:7.5)。微软已在2024年12月的“补丁星期二”更新中修复了该漏洞,同时修复的还包括CVE-2024-49112(CVSS评分:9.8),后者是该组件中的一个关键整数溢出漏洞,可能导致远程代码执行。
独立安全研究员Yuki Chen(@guhe120)发现并报告了这两个漏洞。
SafeBreach Labs设计的CVE-2024-49113概念验证攻击代码,代号为LDAPNightmare,旨在使任何未打补丁的Windows服务器崩溃,“除受害者域控制器的DNS服务器具有互联网连接外,无需任何前提条件”。
具体而言,该攻击涉及向受害服务器发送DCE/RPC请求,最终当发送一个“lm_referral”字段为非零值的特制CLDAP引用响应包时,会导致本地安全机构子系统服务(LSASS)崩溃并强制重启。
更糟糕的是,这家位于加利福尼亚州的网络安全公司发现,通过修改CLDAP数据包,还可以利用相同的攻击链实现远程代码执行(CVE-2024-49112)。
微软关于CVE-2024-49113的公告在技术细节上较为简略,但该公司已透露,CVE-2024-49112可通过从不受信任的网络发送RPC请求来利用,从而在LDAP服务的上下文中执行任意代码。
微软表示:“在针对LDAP服务器的域控制器进行攻击的情况下,为了成功,攻击者必须向目标发送特制的RPC调用,以触发对攻击者域的查找。在针对LDAP客户端应用程序进行攻击的情况下,为了成功,攻击者必须说服或诱骗受害者执行对攻击者域的域控制器查找,或连接到恶意的LDAP服务器。然而,未经身份验证的RPC调用将不会成功。”
此外,该公司指出,攻击者还可以使用到域控制器的RPC连接来触发针对攻击者域的域控制器查找操作。
为减轻这些漏洞带来的风险,组织必须应用微软发布的2024年12月补丁。在无法立即打补丁的情况下,建议“实施检测以监控可疑的CLDAP引用响应(具有特定的恶意值集)、可疑的DsrGetDcNameEx2调用和可疑的DNS SRV查询”。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
