CVE-2024-49113 Erkennung: Windows LDAP Denial-of-Service-Schwachstelle, auch bekannt als LDAPNightmare, mittels öffentlich zugänglichem PoC ausgenutzt
Inhaltsverzeichnis:
Direkt nach der Veröffentlichung des ersten PoC-Exploits für eine kritische RCE-Schwachstelle im Windows LDAP, bekannt als CVE-2024-49112, sorgt eine weitere Schwachstelle im selben Softwareprotokoll in Windows-Umgebungen für Aufsehen. Eine Entdeckung von CVE-2024-49113, einer neuen Denial-of-Service (DoS)-Schwachstelle, auch bekannt als LDAPNightmare, sorgt für Schlagzeilen, gefolgt von der Nachricht von der Veröffentlichung seines öffentlich zugänglichen PoC. Einmal ausgenutzt, kann CVE-2024-49113 den LDAP-Dienst stören, was potenziell zu Dienstunterbrechungen führen und DoS-Angriffe ermöglichen kann. Sowohl CVE-2024-49112 als auch CVE-2024-49113 werden als kritisch eingestuft, da LDAP in Windows-Systemen weit verbreitet ist.
Erkennung von CVE-2024-49113 aka LDAPNightmare-Exploitation-Versuchen
Als primäre Datenbank zur Verwaltung von Benutzern, Computern und Ressourcen in Unternehmensnetzwerken ist Active Directory seit langem ein wichtiger Bestandteil der organisationsinternen Infrastruktur und somit ein Hauptziel für Cyberkriminelle. Mit den jüngsten Schätzungen , die zeigen, dass Active Directory in bis zu 90 % der Cyberangriffe involviert ist, müssen Sicherheitsprofis Zugang zu zuverlässigen Erkennungsinhalten haben, um schnell auf Bedrohungen wie LDAPNightmare reagieren zu können.
Vertrauen Sie auf die SOC Prime Plattform für kollektive Cyberabwehr, um kuratierte Erkennungsinhalte zu jeder aktiven Bedrohung zu erhalten, unterstützt durch eine vollständige Produktsuite für fortschrittliche Bedrohungserkennung und -jagd. Durch Drücken der Schaltfläche Erkennungen erkunden unten können Sie sofort auf den Erkennungsstack zugreifen, der CVE-2024-49113-Ausbeutungsversuche adressiert.
Schaltfläche Erkennungen erkunden
Alle Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel, zur MITRE ATT&CK®-Rahmenwerkabgebildet und mit detaillierten Metadaten angereichert, einschließlich Angriffstimeline, Bedrohungsinformationen Referenzen und Audit-Konfigurationstipps.
CVE-2024-49113 aka LDAPNightmare-Analyse
Das SonicWall Capture Labs Team hat kürzlich auf eine neue DoS-Schwachstelle hingewiesen, bekannt als CVE-2024-49113, aka LDAPNightmare, mit einem CVSS-Wert von 7,5.
Wenn Windows 10, 11 und Windows Server OS nicht mit den Patches aktualisiert sind, kann ein nicht authentifizierter Angreifer möglicherweise den Server abstürzen lassen, indem er eine bösartige CLDAP (Connectionless Lightweight Directory Access Protocol)-Verweisantwort sendet. Angesichts der kritischen Rolle von LDAP in Active Directory Domain Controllern können Schwachstellen im Protokoll erhebliche Sicherheitsrisiken darstellen. Die öffentliche Offenlegung eines PoC-Exploits auf GitHub hat das Potenzial für CVE-2024-49113-Angriffe erhöht.
Zusätzlich zu den Risiken der Ausnutzung von CVE-2024-49113 führen Angreifer weitere Bedrohungen ein. Trend Micro-Forscher haben auch eine Warnung bezüglich eines gefälschten PoC-Exploits für LDAPNightmareherausgegeben, der darauf abzielt, Verteidiger dazu zu verleiten, Malware zum Diebstahl von Informationen herunterzuladen und auszuführen.
Der CVE-2024-49113-Exploit zielt auf den DCE/RPC-Mechanismus ab, um auf anfällige Funktionen zuzugreifen. Die Infektionskette beginnt mit einer DCE/RPC-Bindungsanforderung an den Windows-Server, gefolgt von einer DsrGetDcNameEx2-Anforderung, die den Domänennamen des Clients enthält. Der Server führt dann eine DNS-SRV-Abfrage durch, um den Ziel-LDAP-Server zu identifizieren und eine Verbindung herzustellen. Die DNS-Antwort liefert den Hostnamen und den Port des LDAP-Servers, was den Windows-Server dazu veranlasst, eine CLDAP-Anfrage an die angezielte Instanz zu senden.
Die Schwachstelle resultiert aus einem Fehler beim Out-of-Bounds-Lesen in der Funktion LdapChaseReferral von wldap32.dll. Diese Funktion leitet Clients weiter, wenn der ursprüngliche LDAP-Server eine Anfrage nicht erfüllen kann. Daher gibt die Ausnutzung von CVE-2024-49113 einem entfernten Angreifer grünes Licht, einen Denial of Service auf dem Server zu verursachen.
Die Bewaffnung der LDAPNightmare-Schwachstelle erfordert, dass das Ziel ein Active Directory-Domänencontroller mit laufendem Netlogon ist. Der Angreifer sollte Netzwerkzugang haben, um eine DsrGetDcNameEx2-Anforderung mit einer vom Gegner kontrollierten Domäne zu senden, die DNS-Antwort zu steuern und einen fehlerhaften Verweis zu senden, was schließlich zu einem Systemneustart führt.
Als potenzielle CVE-2024-49113-Minderungsmaßnahmen zur Verringerung der Ausnutzungsrisiken veröffentlichte Microsoft am 10. Dezember 2024 einen Sicherheitshinweis , der die Benutzer dazu auffordert, ihre Systeme auf die neueste gepatchte Version zu aktualisieren. Wenn sofortige Updates nicht angewendet werden können, empfehlen Verteidiger auch das Anwenden temporärer Workarounds, wie das Blockieren der Internetkonnektivität für Domänencontroller oder das Deaktivieren des eingehenden RPC von nicht vertrauenswürdigen Netzwerken. Darüber hinaus wird Organisationen empfohlen, Erkennungen einzurichten, um auffällige CLDAP-Verweisantworten (mit einem spezifischen bösartigen Wert), ungewöhnliche DsrGetDcNameEx2-Aufrufe und anormale DNS-SRV-Abfragen zu überwachen. SOC Prime Plattform für kollektive Cyberabwehr bietet fortschrittlichen Organisationen eine hochmoderne Produktsuite für erweiterte Bedrohungserkennung, automatisierte Bedrohungssuche und intelligenzgetriebene Erkennungstechnik, um Cyberbedrohungen klug zu übertreffen und proaktive Abwehrmaßnahmen gegen Schwachstellenausnutzung zu verstärken.
