Detección de CVE-2024-49112: Exploit PoC de Cero Clic para una Vulnerabilidad CrÃtica de RCE en LDAP Puede Derribar Servidores Windows Sin Parches
Tabla de contenidos:
En 2024, la explotación de vulnerabilidades representó el 14% de los puntos de entrada de brechas, marcando un aumento casi tres veces mayor respecto al año anterior, una tendencia que podrÃa persistir hasta 2025. Al comenzar enero de 2025, los defensores lanzaron el primer exploit PoC que puede bloquear servidores Windows sin parchear aprovechando una vulnerabilidad crÃtica RCE en el Protocolo de Acceso Ligero a Directorios (LDAP) de Windows, rastreada como CVE-2024-49112.
Detectar Intentos de Explotación de CVE-2024-49112
Se espera que la detección proactiva de vulnerabilidades siga siendo una de las principales prioridades de ciberseguridad en 2025. Los profesionales de seguridad están buscando cada vez más fuentes confiables de contenido de detección relevante para identificar amenazas potenciales en tiempo real. El SOC Prime Platform aborda esta necesidad proporcionando el primer feed de reglas de detección enriquecido con CTI de la industria para amenazas emergentes y existentes. Respaldado por un conjunto de productos integral, la plataforma soporta detección de amenazas avanzada, ingenierÃa de detección impulsada por IA y búsqueda de amenazas automatizada.
ConfÃe en SOC Prime Platform para identificar intentos de explotación de CVE-2024-49112. Pulse el botón Explorar Detecciones a continuación y profundice inmediatamente en un conjunto curado de reglas Sigma mapeadas a MITRE ATT&CK y compatibles con más de 30 soluciones SIEM, EDR y Data Lake. Todas las reglas se enriquecen con extensa inteligencia sobre amenazas, incluidas cronologÃas de ataques, recomendaciones de triaje y otros metadatos relevantes.
Análisis de CVE-2024-49112
En diciembre de 2024, Microsoft reveló una RCE vulnerabilidad que afecta a controladores de dominio, identificada como CVE-2024-49112. La falla recibió una puntuación CVSS de 9.8 sobre 10. Sin embargo, a pesar de su naturaleza crÃtica, ningún exploit público o explicación detallada de la vulnerabilidad se ha compartido instantáneamente. Al comenzar 2025, los investigadores de SafeBreach Labs publicaron el primer exploit PoC de cero clics para esta vulnerabilidad crÃtica de RCE en el LDAP de Windows. El exploit puede bloquear servidores Windows sin parchear que no se limitan a controladores de dominio, requiriendo solo que el servidor DNS de la vÃctima tenga acceso a Internet, sin requisitos adicionales.
La cadena de infección comienza enviando una solicitud DCE/RPC al servidor vÃctima, que a su vez inicia una consulta DNS SRV para un dominio elegido. El servidor DNS del atacante responde con su propio nombre de host y puerto LDAP. El servidor objetivo luego transmite una solicitud NBNS para resolver el nombre de host del atacante a una dirección IP. Los adversarios responden a la solicitud NBNS con su dirección IP. Como resultado, el servidor impactado, actuando ahora como cliente LDAP, envÃa una solicitud CLDAP a la máquina del atacante. Finalmente, los adversarios responden con un paquete de referencia CLDAP elaborado, lo que provoca que LSASS en el servidor objetivo bloquee el sistema y fuerce un reinicio.
En diciembre de 2024, Microsoft proporcionó el contexto de CVE-2024-49112, mencionando que los atacantes no autenticados que aprovechan este problema de seguridad podrÃan ejecutar código arbitrario dentro del servicio LDAP. Para los controladores de dominio, la explotación requiere el envÃo de llamadas RPC diseñadas para activar una búsqueda del dominio del atacante. Para las aplicaciones cliente LDAP, el atacante debe engañar a la vÃctima para que realice una búsqueda de controlador de dominio o se conecte a un servidor LDAP malicioso. Los investigadores añadieron que las llamadas RPC no autenticadas no tendrÃan éxito en ningún caso.
Basado en la actualización de seguridad de Microsoft, el equipo de SafeBreach Labs también concluyó que para explotar CVE-2024-49112, los hackers no necesitan autenticación ya que la vulnerabilidad es un desbordamiento de enteros en un ejecutable o DLL que maneja la lógica del cliente LDAP. Al explotar ciertas llamadas RPC, los actores de amenazas pueden hacer que un controlador de dominio consulte un servidor LDAP malicioso. Además, los defensores descubrieron una observación interesante de que el parche de Microsoft para la vulnerabilidad podrÃa estar ubicado en wldap32.dll.
Aunque SafeBreach Labs probó principalmente en Windows Server 2022 (DC) y Windows Server 2019 (no-DC), creen que el método de explotación y el PoC son aplicables a todas las versiones de Windows Server. Como medidas potenciales de mitigación de CVE-2024-49112, se insta a las organizaciones a aplicar el parche de Microsoft, que previene eficazmente las explotaciones y bloqueos de servidores. Los defensores también recomiendan monitorear las respuestas de referencia CLDAP sospechosas, las llamadas DsrGetDcNameEx2 y las consultas DNS SRV hasta que se implemente el parche. SOC Prime Platform para la defensa cibernética colectiva permite a los equipos de seguridad superar las amenazas cibernéticas de cualquier escala y sofisticación, incluidas las CVE en productos de software populares de los cuales muchas organizaciones dependen, mientras les ayuda a optimizar el riesgo de su postura de seguridad.
