CVE-2024-49112-Erkennung: Zero-Click PoC-Exploit für eine kritische LDAP-RCE-Schwachstelle kann ungepatchte Windows-Server abstürzen lassen
Inhaltsverzeichnis:
Im Jahr 2024, verwundbarkeit machte die Ausnutzung von Schwachstellen 14 % der Einbruchspunkte aus, was eine fast dreifache Zunahme gegenüber dem Vorjahr markiert – ein Trend, der sich bis 2025 fortsetzen könnte. Zu Beginn von Januar 2025 veröffentlichten Verteidiger den ersten PoC-Exploit, der nicht gepatchte Windows-Server durch die Ausnutzung einer kritischen RCE-Schwachstelle im Windows Lightweight Directory Access Protocol (LDAP), verfolgt als CVE-2024-49112, abstürzen lassen kann.
Erkennen von CVE-2024-49112-Ausnutzungsversuchen
Proaktive Schwachstellenerkennung wird voraussichtlich auch 2025 eine der wichtigsten Prioritäten im Bereich Cybersecurity bleiben. Sicherheitsexperten suchen zunehmend nach zuverlässigen Quellen relevanter Erkennungsinhalte, um potenzielle Bedrohungen in Echtzeit zu identifizieren. Die SOC Prime Plattform geht auf dieses Bedürfnis ein, indem sie den branchenweit ersten CTI-angereicherten Erkennungsregel-Feed für sowohl aufkommende als auch bestehende Bedrohungen bereitstellt. Unterstützt durch ein umfassendes Produktpaket unterstützt die Plattform fortschrittliche Bedrohungserkennung, KI-gestütztes Detection Engineering und automatisiertes Threat Hunting.
Verlassen Sie sich auf die SOC Prime Plattform, um CVE-2024-49112-Ausnutzungsversuche zu identifizieren. Klicken Sie auf die Exploration von Erkennungen Schaltfläche unten und tauchen Sie sofort in eine kuratierte Sammlung von Sigma-Regeln ein, die auf MITRE ATT&CK abgebildet und mit über 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel sind. Alle Regeln sind mit umfangreichen Bedrohungsinformationen angereichert, einschließlich Angriffstimeline, Triage-Empfehlungen und anderen relevanten Metadaten.
CVE-2024-49112 Analyse
Im Dezember 2024 stellte Microsoft eine RCE Schwachstelle vor, die Domänencontroller betrifft, identifiziert als CVE-2024-49112. Die Schwachstelle erhielt einen CVSS-Score von 9.8 von 10. Trotz ihrer kritischen Natur wurde jedoch kein öffentlicher Exploit oder eine detaillierte Erklärung der Schwachstelle sofort geteilt. Zu Beginn von 2025 veröffentlichten SafeBreach Labs Forscher den ersten Zero-Click-PoC-Exploit für diese kritische RCE-Schwachstelle im Windows LDAP. Der Exploit kann nicht gepatchte Windows-Server abstürzen lassen, nicht auf Domänencontroller beschränkt, wobei nur erforderlich ist, dass der DNS-Server des Opfers Internetzugang hat, ohne zusätzliche Voraussetzungen.
Die Infektionskette beginnt mit dem Senden einer DCE/RPC-Anfrage an den Zielserver, die anschließend eine DNS-SRV-Abfrage für eine ausgewählte Domäne initiiert. Der DNS-Server des Angreifers antwortet mit seinem eigenen Hostnamen und LDAP-Port. Der Zielserver sendet dann eine NBNS-Anfrage, um den Hostnamen des Angreifers in eine IP-Adresse aufzulösen. Die Angreifer antworten auf die NBNS-Anfrage mit ihrer IP-Adresse. Infolgedessen sendet der betroffene Server, der nun als LDAP-Client fungiert, eine CLDAP-Anfrage an die Maschine des Angreifers. Schließlich antworten die Angreifer mit einem manipulierten CLDAP-Referral-Paket, das LSASS auf dem Zielserver das System abstürzen und einen Neustart erzwingen lässt.
Im Dezember 2024, bereitstellte Microsoft den CVE-2024-49112-Kontext, in dem erwähnt wurde, dass unauthentifizierte Angreifer diese Sicherheitslücke ausnutzen könnten, um beliebigen Code innerhalb des LDAP-Dienstes auszuführen. Für Domänencontroller erfordert die Ausnutzung das Senden speziell formulierter RPC-Aufrufe, um eine Abfrage der Domäne des Angreifers zu initiieren. Für LDAP-Client-Anwendungen muss der Angreifer das Opfer dazu verleiten, eine Abfrage bei einem Domänencontroller auszuführen oder eine Verbindung zu einem bösartigen LDAP-Server herzustellen. Forscher fügten hinzu, dass nicht authentifizierte RPC-Aufrufe in beiden Fällen nicht erfolgreich sein würden.
Basierend auf Microsofts Sicherheitsupdate kam das SafeBreach Labs Team ebenfalls zu dem Schluss, dass für die Ausnutzung von CVE-2024-49112 Hacker keine Authentifizierung benötigen, da die Schwachstelle ein Integer Overflow in einer ausführbaren Datei oder DLL ist, die die LDAP-Clientlogik verarbeitet. Durch die Ausnutzung bestimmter RPC-Aufrufe können Bedrohungsakteure einen Domänencontroller dazu bringen, bei einem bösartigen LDAP-Server nachzufragen. Außerdem entdeckten Verteidiger eine interessante Beobachtung , dass Microsofts Patch für die Schwachstelle möglicherweise in der wldap32.dll liegt.
Obwohl SafeBreach Labs hauptsächlich auf Windows Server 2022 (DC) und Windows Server 2019 (Non-DC) getestet haben, glauben sie, dass die Exploit-Methode und der PoC für alle Windows Server-Versionen anwendbar sind. Als potenzielle CVE-2024-49112-Maßnahmen werden Organisationen aufgefordert, den Microsoft-Patchanzuwenden, der wirksam die Ausnutzung und Serverabstürze verhindert. Verteidiger empfehlen außerdem, verdächtige CLDAP-Referral-Antworten, DsrGetDcNameEx2-Aufrufe und DNS-SRV-Abfragen zu überwachen, bis der Patch implementiert ist. SOC Prime Plattform für kollektive Cyberverteidigung ermöglicht es Sicherheitsteams, Cyberbedrohungen jeder Größe und Komplexität zu übertreffen, einschließlich CVEs in populären Softwareprodukten, auf die die meisten Organisationen angewiesen sind, während sie ihnen helfen, das Sicherheitsprofil risikoorientiert zu optimieren.
