LDAPNightmare: Публикуван е експлойт за критична уязвимост в Windows
Само една поръчка е задоволителна, с цел да срине всяка инфраструктура...
Емил Василев 13:54 | 06.01.2025 0 СподелиНай-четени
IT НовиниДаниел Десподов - 11:18 | 04.01.2025Експертите на ESET предлагат инсталирането на Linux на компютрите с Windows 10, които не могат да бъдат актуализирани до Windows 11 през 2025 година
IT НовиниЕмил Василев - 16:25 | 03.01.2025Русия прибавя към флота си 13 800-тонна атомна подводница с оптималната скорост 65 км/ч
АвтомобилиДаниел Десподов - 13:52 | 03.01.2025Разработена е първата в света „ безмасова “ батерия за електрически автомобили
Емил Василевhttps://www.kaldata.com/Наскоро в интернет беше оповестен PoC експлойт за накърнимост в протокола за достъп до леки директории (LDAP) на Windows, закърпена през декември 2024 година. Уязвимостта, разпозната като CVE-2024-49113 (CVSS 7.5) може да докара до отвод на услуга (DoS). Нейното премахване беше част от декемврийските актуализации на Microsoft, дружно с CVE-2024-49112 (CVSS 9.8), сериозна накърнимост с препълване на цели цифри, която разрешава отдалечено осъществяване на код.
И двете уязвимости бяха открити от самостоятелния откривател Юки Чен (@guhe120).
Експлойтът, наименуван „ LDAPNightmare “ от откривателите на SafeBreach Labs може да срине сървър на Windows без спомагателни условия, в случай че DNS сървърът на контролера на домейна (DC) има достъп до интернет.
Атаката употребява DCE/RPC поръчка, изпратена до сървъра на жертвата. Това провокира срив на услугата LSASS (Local Security Authority Subsystem Service) и рестартиране на системата. Експлоатацията се прави благодарение на особено квалифициран CLDAP пакет, в който цената на „ lm_referral “ е друга от нула. Още по-обезпокоително е, че веригата за експлоатиране може да бъде модифицирана, с цел да се извърши далечен код посредством поправяне на параметрите на CLDAP пакета.
В предизвестието си Microsoft удостоверява, че CVE-2024-49112 може да бъде употребена посредством RPC поръчки от ненадеждни мрежи за осъществяване на случаен код в подтекста на услугата LDAP. Успешното експлоатиране изисква изпращане на специфична RPC поръчка, която инициира извикване на контролера на домейна на домейна на атакуващия.
За да се предпазите от вероятни офанзиви, Microsoft предлага да инсталирате актуализациите за сигурност от декември. Ако незабавното актуализиране не е допустимо, би трябвало да въведете наблюдаване за подозрителни CLDAP отговори, DsrGetDcNameEx2 поръчки и DNS SRV поръчки.
