Détection CVE-2024-49112 : Exploit Zero-Click PoC pour une Vulnérabilité RCE Critique LDAP Peut Affecter les Serveurs Windows Non Corrigés
Table des matières :
En 2024, l’exploitation des vulnérabilités a représenté 14 % des points d’entrée des violations, marquant une augmentation presque triple par rapport à l’année précédente—une tendance qui pourrait persister jusqu’en 2025. Au début de janvier 2025, les défenseurs ont publié le premier exploit PoC qui peut faire planter les serveurs Windows non corrigés en exploitant une vulnérabilité critique de RCE dans le Windows Lightweight Directory Access Protocol (LDAP) suivi sous l’identifiant CVE-2024-49112.
Détecter les tentatives d’exploitation de CVE-2024-49112
La détection proactive des vulnérabilités devrait rester l’une des priorités majeures en cybersécurité en 2025. Les praticiens de la sécurité recherchent de plus en plus des sources fiables de contenu de détection pertinent pour identifier les menaces potentielles en temps réel. La Plateforme SOC Prime répond à ce besoin en fournissant le premier flux de règles de détection enrichies par CTI de l’industrie pour les menaces émergentes et existantes. Soutenue par une suite de produits complète, la plateforme prend en charge la détection avancée des menaces, l’ingénierie de détection alimentée par l’IA et la chasse aux menaces automatisée.
Fiez-vous à la Plateforme SOC Prime pour identifier les tentatives d’exploitation de CVE-2024-49112. Appuyez sur le Explorer les détecteurs bouton ci-dessous et creusez immédiatement dans un ensemble de règles Sigma sélectionnées et mappées sur MITRE ATT&CK et compatibles avec plus de 30 solutions SIEM, EDR et Data Lake. Toutes les règles sont enrichies avec des renseignements étendus sur les menaces, y compris des chronologies d’attaque, des recommandations de triage et d’autres métadonnées pertinentes.
Analyse de CVE-2024-49112
En décembre 2024, Microsoft a dévoilé une RCE vulnérabilité affectant les contrôleurs de domaine, identifiée comme CVE-2024-49112. La faille a reçu un score CVSS de 9,8 sur 10. Cependant, malgré sa criticité, aucun exploit public ou explication détaillée de la vulnérabilité n’a été immédiatement partagé. Au début de 2025, les chercheurs de SafeBreach Labs ont publié le premier exploit PoC zero-click pour cette vulnérabilité critique de RCE dans Windows LDAP. L’exploit peut faire planter les serveurs Windows non corrigés, non limités aux contrôleurs de domaine, ne nécessitant que l’accès à Internet du serveur DNS de la victime, sans prérequis supplémentaires.
La chaîne d’infection commence par l’envoi d’une requête DCE/RPC au serveur victime, qui initie ensuite une requête DNS SRV pour un domaine choisi. Le serveur DNS de l’attaquant répond avec son propre nom d’hôte et port LDAP. Le serveur ciblé diffuse alors une requête NBNS pour résoudre le nom d’hôte de l’attaquant en adresse IP. Les adversaires répondent à la requête NBNS avec leur adresse IP. En conséquence, le serveur impacté, agissant désormais comme un client LDAP, envoie une requête CLDAP à la machine de l’attaquant. Enfin, les adversaires répondent avec un paquet de référence CLDAP conçu, provoquant le crash du système LSASS sur le serveur ciblé et forçant un redémarrage.
En décembre 2024, Microsoft a fourni le contexte de CVE-2024-49112, mentionnant que les attaquants non authentifiés exploitant ce problème de sécurité pouvaient exécuter du code arbitraire au sein du service LDAP. Pour les contrôleurs de domaine, l’exploitation nécessite l’envoi d’appels RPC conçus pour déclencher une recherche du domaine de l’attaquant. Pour les applications clientes LDAP, l’attaquant doit tromper la victime en exécutant une recherche de contrôleur de domaine ou en se connectant à un serveur LDAP malveillant. Les chercheurs ont ajouté que les appels RPC non authentifiés ne réussiraient dans aucun des cas.
D’après la mise à jour de sécurité de Microsoft, l’équipe de SafeBreach Labs a également conclu que pour l’exploitation de CVE-2024-49112, les hackers n’ont pas besoin d’authentification puisque la vulnérabilité est un débordement d’entier dans un exécutable ou une DLL gérant la logique client LDAP. En exploitant certains appels RPC, les acteurs de la menace peuvent faire qu’un contrôleur de domaine interroge un serveur LDAP malveillant. De plus, les défenseurs ont découvert une observation intéressante que le correctif de Microsoft pour la vulnérabilité pourrait se situer dans wldap32.dll.
Bien que SafeBreach Labs ait principalement testé sur Windows Server 2022 (DC) et Windows Server 2019 (non-DC), ils estiment que la méthode d’exploitation et le PoC sont applicables à toutes les versions de Windows Server. Comme mesures potentielles de mitigation pour CVE-2024-49112, les organisations sont invitées à appliquer le correctif Microsoft, qui empêche efficacement l’exploitation et les plantages de serveur. Les défenseurs recommandent également de surveiller les réponses de référence CLDAP suspectes, les appels DsrGetDcNameEx2 et les requêtes DNS SRV jusqu’à ce que le correctif soit appliqué. Plateforme SOC Prime pour la défense cybernétique collective permet aux équipes de sécurité de surpasser les menaces cybernétiques de toute envergure et sophistication, y compris les CVE dans des produits logiciels populaires dont dépendent la plupart des organisations tout en les aidant à optimiser le risque de posture de sécurité.
