Detección CVE-2024-49113: Vulnerabilidad de Denegación de Servicio en Windows LDAP, también conocida como LDAPNightmare, Explotada mediante un PoC Disponible Públicamente
Tabla de contenidos:
Poco después del lanzamiento del primer exploit de PoC para una vulnerabilidad crítica de RCE en el LDAP de Windows, conocida como CVE-2024-49112, otra vulnerabilidad en el mismo protocolo de software en entornos Windows está causando revuelo. Un descubrimiento de CVE-2024-49113, una nueva vulnerabilidad de denegación de servicio (DoS), también conocida como LDAPNightmare, está acaparando los titulares seguido de la noticia del lanzamiento de su PoC accesible públicamente. Una vez explotado, CVE-2024-49113 puede interrumpir el servicio LDAP, potencialmente causando fallos de servicio y permitiendo ataques DoS. Tanto CVE-2024-49112 como CVE-2024-49113 se consideran críticas debido al amplio uso de LDAP dentro de los sistemas Windows.
Detectar intentos de explotación de CVE-2024-49113, también conocido como LDAPNightmare
Como base de datos principal para la gestión de usuarios, computadores y recursos en redes empresariales, Active Directory ha sido durante mucho tiempo un componente clave de la infraestructura organizacional, convirtiéndolo en un objetivo principal para los ciberdelincuentes. Con recientes estimaciones que indican que Active Directory está involucrado en hasta el 90% de los ciberataques, los profesionales de seguridad deben tener acceso a contenido de detección confiable para responder rápidamente a amenazas como LDAPNightmare.
Confíe en la Plataforma SOC Prime para la defensa cibernética colectiva y obtenga contenido de detección curado sobre cualquier amenaza activa, respaldado por un conjunto completo de productos para la detección avanzada de amenazas y búsqueda. Al presionar el botón Explorar Detecciones a continuación, puede acceder inmediatamente a la pila de detección que aborda los intentos de explotación de CVE-2024-49113.
Todas las reglas son compatibles con más de 30 tecnologías SIEM, EDR y Data Lake, mapeadas al marco MITRE ATT&CK®, y enriquecidas con metadatos detallados, incluyendo cronogramas de ataques, inteligencia de amenazas referencias y consejos de configuración de auditoría.
Análisis de CVE-2024-49113, también conocido como LDAPNightmare
El equipo de SonicWall Capture Labs ha arrojado recientemente luz sobre una nueva vulnerabilidad de DoS conocida como CVE-2024-49113, alias LDAPNightmare, con un puntaje CVSS de 7.5.
Si los sistemas operativos Windows 10, 11 y Windows Server no se actualizan con los parches, un atacante no autenticado puede potencialmente colapsar el servidor al enviar una respuesta de referencia maliciosa de CLDAP (Protocolo ligero de acceso a directorios sin conexión). Dado el papel crítico de LDAP en los Controladores de Dominio de Active Directory, las vulnerabilidades en el protocolo pueden presentar riesgos de seguridad significativos. La divulgación pública de un exploit de PoC en GitHub ha aumentado el potencial de ataques CVE-2024-49113.
Además de los riesgos de explotación de CVE-2024-49113, los atacantes introducen más amenazas. Los investigadores de Trend Micro también han emitido una advertencia sobre un exploit de PoC falso para LDAPNightmare, destinado a engañar a los defensores para que descarguen y ejecuten malware de robo de información.
El exploit CVE-2024-49113 apunta al mecanismo DCE/RPC para acceder a funcionalidades vulnerables. La cadena de infección comienza con una solicitud de enlace DCE/RPC al servidor de Windows, seguida de una solicitud DsrGetDcNameEx2 que contiene el nombre de dominio del cliente. El servidor luego realiza una consulta DNS SRV para identificar el servidor LDAP objetivo y establecer una conexión. La respuesta DNS proporciona el nombre de host y el puerto del servidor LDAP, lo que impulsa al servidor de Windows a enviar una solicitud CLDAP a la instancia seleccionada.
La vulnerabilidad surge de un fallo de lectura fuera de límites en la función LdapChaseReferral de wldap32.dll. Esta función redirige a los clientes cuando el servidor LDAP original no puede cumplir una solicitud. Como resultado, la explotación de CVE-2024-49113 permite a un atacante remoto causar una denegación de servicio en el servidor.
La implementación de la vulnerabilidad LDAPNightmare requiere que el objetivo sea un Controlador de Dominio de Active Directory con netlogon en ejecución. El atacante debe tener acceso a la red para enviar una solicitud DsrGetDcNameEx2 con un dominio controlado por el adversario, controlar la respuesta DNS y enviar una referencia malformada, finalmente llevando a un reinicio del sistema.
Como posibles medidas de mitigación de CVE-2024-49113 para reducir los riesgos de explotación, el 10 de diciembre de 2024, Microsoft lanzó un asesoramiento de seguridad exhortando a los usuarios a actualizar sus sistemas a la última versión parcheada. Si no se pueden aplicar las actualizaciones inmediatas, los defensores también recomiendan aplicar soluciones temporales, como bloquear la conectividad a internet para los controladores de dominio o desactivar el RPC entrante de redes no confiables. Además, se recomienda a las organizaciones configurar detecciones para monitorear respuestas de referencia CLDAP sospechosas (con un valor malicioso específico), llamadas DsrGetDcNameEx2 inusuales y consultas DNS SRV anormales. Plataforma SOC Prime para la defensa cibernética colectiva proporciona a las organizaciones progresivas un conjunto de productos de vanguardia para la detección avanzada de amenazas, búsqueda automatizada de amenazas y una ingeniería de detección impulsada por inteligencia para escalar inteligentemente las amenazas cibernéticas y elevar las defensas proactivas contra la explotación de vulnerabilidades.
