Författare

SOC @ Asurgent

Read time

2 min

8 januari 2025

Asurgents cybersäkerhetsblogg: ”LDAPNightmare: Kritiska LDAP-sårbarheter som påverkar Windows-servrar”

Den 10 december 2024 publicerades två allvarliga LDAP-sårbarheter som påverkar Windows-servrar, inklusive Active Directory Domain Controllers (DCs), av Microsoft som en del av deras Patch Tuesday-uppdateringar. Dessa sårbarheter, identifierade som CVE-2024-49112 (Remote Code Execution, CVSS 9.8 ) och CVE-2024-49113 (Denial of Service/Info Leak, CVSS 7.5), utgör stora risker för företagsnätverk.

asurgents cybersäkerhetsblogg kopiera

SafeBreach Labs fynd och PoC

SafeBreach Labs prioriterade forskning kring dessa sårbarheter och utvecklade ett proof-of-concept (PoC) som visar hur CVE-2024-49113 kan utnyttjas för att krascha oskyddade Windows-servrar. Exploiten kräver inga förutsättningar utöver att offrets DNS-server har internetanslutning.

Attackflödet:

1. En angripare skickar en DCE/RPC-förfrågan till målets server.

2. Målet gör en DNS SRV-förfrågan om angriparens domän.

3. Angriparens DNS-server svarar med sin värdnamn och LDAP-port.

4. Målet skickar en NBNS-broadcast för att hitta IP-adressen till angriparens värdnamn.

5. Angriparen svarar med sin IP-adress.

6. Målet skickar en CLDAP-förfrågan till angriparens maskin.

7. Angriparen svarar med en CLDAP-referens som kraschar LSASS och tvingar servern att starta om.

De tros vara samma attackvektor som används där de första sex stegen förblir oförändrade, men det sista CLDAP-paketet som skickas behöver modifieras för att möjliggöra RCE.

Viktiga insikter

  • SafeBreach Labs har visat hur CVE-2024-49113 kan utnyttjas för att krascha flera oskyddade Windows-servrar, inklusive DCs.
  • Microsofts patch löser problemet och skyddar servrar från att krascha.
  • Ett offentligt PoC har släppts för att hjälpa organisationer att verifiera skyddet av sina servrar.

Påverkade system

Alla versioner av Windows Server fram till patchdatumet påverkas, inklusive Windows Server 2019 och 2022.

Vad kan organisationer göra?

För att minska risken för attacker rekommenderar SafeBreach Labs att alla organisationer:

  • Applicerar de senaste patcharna som publicerats av Microsoft.
  • Implementerar starka säkerhetsåtgärder för att skydda sina DNS- och LDAP-tjänster.
  • Tester och verifierar sina system med hjälp av tillgängliga PoC-verktyg.

Slutsats

SafeBreach Labs forskning bekräftar att CVE-2024-49113 kan utnyttjas för att krascha DCs och andra Windows-servrar. Vi uppmanar organisationer att omedelbart patcha både CVE-2024-49112 och CVE-2024-49113 för att skydda sina nätverk

Källor:

 

Security
Säkerhet

Asurgent Cybersäkerhetsblogg: Patch för DoS-sårbarhet i PAN-OS — uppdatera omedelbart, meddelar Palo Alto

Läs mer
Säkerhet

Cybersäkerhet i jultid: Så skyddar ni ert företag mot digitala hot under högtiderna

Läs mer
Säkerhet

Cybersäkerhet – grunder och medvetenhet

Läs mer
Azure
azure

AWS vs Azure – välj rätt molnplattform för er

Läs mer

Ta del av de senaste insikterna och nyheterna

Prenumerera på vårt cybersäkerhetsnyhetsbrev för att ha koll på senaste nytt inom cyberfären. 

Prenumerera på vår cybernyheter

Samtycke(Obligatoriskt)

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Asurgent AB, orgnr. 559062-5538 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.
Bekräfta val Acceptera alla