CVE-2024-49113 Détection : Vulnérabilité de déni de service LDAP Windows, également connue sous le nom de LDAPNightmare, exploitée via un PoC disponible publiquement
Table des matières :
Dans la foulée de la publication du premier exploit PoC pour une vulnérabilité critique RCE dans le LDAP de Windows, connue sous le nom de CVE-2024-49112, une autre vulnérabilité dans le même protocole logiciel dans les environnements Windows suscite l’agitation. Une découverte de CVE-2024-49113, une nouvelle vulnérabilité de déni de service (DoS), également connue sous le nom de LDAPNightmare, fait les gros titres suivie de la publication de son PoC accessible au public. Une fois exploitée, CVE-2024-49113 peut perturber le service LDAP, provoquant potentiellement des interruptions de service et permettant des attaques DoS. Les deux CVE-2024-49112 et CVE-2024-49113 sont considérées comme critiques en raison de l’utilisation étendue de LDAP dans les systèmes Windows.
Détecter les tentatives d’exploitation de CVE-2024-49113 alias LDAPNightmare
En tant que base de données principale pour la gestion des utilisateurs, des ordinateurs et des ressources dans les réseaux d’entreprise, Active Directory a longtemps été un élément clé de l’infrastructure organisationnelle, en faisant une cible de choix pour les cybercriminels. Avec des estimations récentes montrant qu’Active Directory est impliqué dans jusqu’à 90 % des cyberattaques, les professionnels de la sécurité doivent avoir accès à du contenu de détection fiable pour répondre rapidement aux menaces telles que LDAPNightmare.
Comptez sur la plateforme SOC Prime pour la défense cybernétique collective afin d’obtenir du contenu de détection choisi sur toute menace active, soutenu par une suite de produits complète pour la détection et la chasse avancées aux menaces. En appuyant sur le bouton Explorer les Détections ci-dessous, vous pouvez immédiatement accéder à la pile de détection abordant les tentatives d’exploitation de CVE-2024-49113.
Toutes les règles sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake, mappées au cadre MITRE ATT&CK®, et enrichies de métadonnées détaillées, y compris des chronologies d’attaque, des renseignements sur les menaces , et des conseils de configuration d’audit.
Analyse de CVE-2024-49113 alias LDAPNightmare
L’équipe SonicWall Capture Labs a récemment mis en lumière une nouvelle vulnérabilité de DoS connue sous le nom de CVE-2024-49113, alias LDAPNightmare, avec un score CVSS de 7.5.
Si Windows 10, 11, et Windows Server OS ne sont pas mis à jour avec les correctifs, un attaquant non authentifié peut potentiellement faire planter le serveur en envoyant une réponse de renvoi CLDAP (Connectionless Lightweight Directory Access Protocol) malveillante. Étant donné le rôle critique de LDAP dans les contrôleurs de domaine Active Directory, les vulnérabilités dans le protocole peuvent présenter des risques de sécurité significatifs. La divulgation publique d’un exploit PoC sur GitHub a accru le potentiel pour des attaques CVE-2024-49113.
En plus des risques d’exploitation de CVE-2024-49113, les attaquants introduisent d’autres menaces. Les chercheurs de Trend Micro ont également émis un avertissement concernant un faux exploit PoC pour LDAPNightmare, destiné à tromper les défenseurs en les incitant à télécharger et à exécuter un malware voleur d’informations.
L’exploit CVE-2024-49113 cible le mécanisme DCE/RPC pour accéder à la fonctionnalité vulnérable. La chaîne d’infection commence par une requête de liaison DCE/RPC au serveur Windows, suivie d’une requête DsrGetDcNameEx2 contenant le nom de domaine du client. Le serveur effectue ensuite une requête DNS SRV pour identifier le serveur LDAP cible et établir une connexion. La réponse DNS fournit le nom d’hôte et le port du serveur LDAP, incitant le serveur Windows à envoyer une requête CLDAP vers l’instance ciblée.
La vulnérabilité découle d’un défaut de lecture hors limites dans la fonction LdapChaseReferral de wldap32.dll. Cette fonction redirige les clients lorsque le serveur LDAP initial ne peut pas satisfaire une demande. En conséquence, l’exploitation de CVE-2024-49113 donne à un attaquant distant le feu vert pour provoquer un déni de service sur le serveur.
L’armement de la vulnérabilité LDAPNightmare nécessite que la cible soit un contrôleur de domaine Active Directory avec netlogon en cours d’exécution. L’attaquant doit avoir accès au réseau pour envoyer une requête DsrGetDcNameEx2 avec un domaine contrôlé par l’adversaire, contrôler la réponse DNS, et envoyer un renvoi malformé, conduisant finalement à un redémarrage du système.
En tant que mesures d’atténuation potentielles de CVE-2024-49113 pour réduire les risques d’exploitation, le 10 décembre 2024, Microsoft a publié un avis de sécurité incitant les utilisateurs à mettre à jour leurs systèmes à la dernière version corrigée. Si des mises à jour immédiates ne peuvent pas être appliquées, les défenseurs recommandent également d’appliquer des solutions temporaires, telles que bloquer la connectivité Internet pour les contrôleurs de domaine ou désactiver le RPC entrant depuis des réseaux non sécurisés. De plus, il est recommandé aux organisations de mettre en place des détections pour surveiller les réponses de renvoi CLDAP suspectes (avec une valeur malveillante spécifique), les appels DsrGetDcNameEx2 inhabituels, et les requêtes DNS SRV anormales. Plateforme SOC Prime pour la défense cybernétique collective fournit aux organisations progressives une suite de produits de pointe pour la détection avancée des menaces, la chasse automatisée aux menaces, et l’ingénierie de détection basée sur l’intelligence pour surpasser intelligemment les cybermenaces et renforcer les défenses proactives contre l’exploitation des vulnérabilités.
