Rilevamento CVE-2024-49112: Exploit Zero-Click PoC per una Grave Vulnerabilità RCE LDAP Può Abbattere i Server Windows Non Aggiornati
Indice:
Nel 2024, lo sfruttamento delle vulnerabilità ha rappresentato il 14% dei punti di ingresso delle violazioni, segnando un aumento di quasi tre volte rispetto all’anno precedente — una tendenza che potrebbe persistere nel 2025. All’inizio di gennaio 2025, i difensori hanno rilasciato il primo exploit PoC in grado di far crashare server Windows non aggiornati sfruttando una vulnerabilità RCE critica nel Windows Lightweight Directory Access Protocol (LDAP) tracciata come CVE-2024-49112.
Rileva i tentativi di sfruttamento di CVE-2024-49112
Si prevede che la rilevazione proattiva delle vulnerabilità rimanga una delle principali priorità della cybersecurity nel 2025. I professionisti della sicurezza cercano sempre più fonti affidabili di contenuti di rilevamento pertinenti per identificare potenziali minacce in tempo reale. La piattaforma SOC Prime risponde a questa esigenza fornendo il primo flusso di regole di rilevamento arricchito con CTI per minacce sia emergenti che esistenti. Supportata da una suite di prodotti completa, la piattaforma supporta la rilevazione avanzata delle minacce, l’ingegneria della rilevazione basata sull’IA e la caccia alle minacce automatizzata.
Affidati alla piattaforma SOC Prime per identificare i tentativi di sfruttamento di CVE-2024-49112. Premi il pulsante Esplora rilevamenti qui sotto e approfondisci immediatamente un insieme curato di regole Sigma mappate su MITRE ATT&CK e compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake. Tutte le regole sono arricchite con ampie informazioni sulle minacce, inclusi cronologie degli attacchi, raccomandazioni per il triage e altri metadati pertinenti.
Analisi di CVE-2024-49112
Nel dicembre 2024, Microsoft ha rivelato una RCE vulnerabilità che colpisce i controller di dominio, identificata come CVE-2024-49112. La falla ha ricevuto un punteggio CVSS di 9,8 su 10. Tuttavia, nonostante la sua natura critica, non è stato condiviso immediatamente alcun exploit pubblico o spiegazione dettagliata della vulnerabilità. All’inizio del 2025, i ricercatori di SafeBreach Labs hanno pubblicato il primo exploit PoC zero-click per questa vulnerabilità RCE critica nel Windows LDAP. L’exploit può far crashare i server Windows non patchati non limitandosi ai controller di dominio, richiedendo solo che il server DNS della vittima abbia accesso a Internet, senza prerequisiti aggiuntivi.
La catena d’infezione inizia con l’invio di una richiesta DCE/RPC al server della vittima, che avvia ulteriormente una query DNS SRV per un dominio scelto. Il server DNS dell’attaccante risponde con il proprio nome host e la porta LDAP. Il server bersagliato quindi trasmette una richiesta NBNS per risolvere il nome host dell’attaccante in un indirizzo IP. Gli avversari rispondono alla richiesta NBNS con il loro indirizzo IP. Di conseguenza, il server colpito, ora agendo come client LDAP, invia una richiesta CLDAP alla macchina dell’attaccante. Infine, gli avversari rispondono con un pacchetto di referral CLDAP appositamente creato, causando l’arresto del sistema e il riavvio forzato di LSASS sul server mirato.
Nel dicembre 2024, Microsoft ha fornito il contesto di CVE-2024-49112, menzionando che gli attaccanti non autenticati che utilizzano questa vulnerabilità di sicurezza potrebbero eseguire codice arbitrario all’interno del servizio LDAP. Per i controller di dominio, lo sfruttamento richiede l’invio di chiamate RPC appositamente create per attivare una ricerca del dominio dell’attaccante. Per le applicazioni client LDAP, l’attaccante deve ingannare la vittima inducendola a effettuare una ricerca di controller di dominio o a connettersi a un server LDAP dannoso. I ricercatori hanno aggiunto che le chiamate RPC non autentiche non avrebbero successo in entrambi i casi.
Basandosi sull’aggiornamento di sicurezza di Microsoft, il team di SafeBreach Labs ha anche concluso che per lo sfruttamento di CVE-2024-49112, gli hacker non hanno bisogno di autenticazione poiché la vulnerabilità è un overflow d’interi in un eseguibile o DLL che gestisce la logica del client LDAP. Sfruttando determinate chiamate RPC, gli attori della minaccia possono far interrogare un controller di dominio un server LDAP dannoso. Inoltre, i difensori hanno scoperto un’osservazione interessante che la patch di Microsoft per la vulnerabilità potrebbe trovarsi in wldap32.dll.
Anche se SafeBreach Labs ha testato principalmente su Windows Server 2022 (DC) e Windows Server 2019 (non-DC), credono che il metodo di exploit e PoC siano applicabili a tutte le versioni di Windows Server. Come possibili misure di mitigazione per CVE-2024-49112, le organizzazioni sono invitate ad applicare la patch Microsoft, che previene efficacemente lo sfruttamento e il crash del server. I difensori raccomandano anche di monitorare le risposte CLDAP ai referral sospetti, le chiamate DsrGetDcNameEx2 e le query DNS SRV fino a quando la patch non è implementata. Piattaforma SOC Prime per la difesa informatica collettiva consente ai team di sicurezza di superare le minacce informatiche di qualsiasi dimensione e sofisticazione, inclusi i CVE nei prodotti software popolari su cui la maggior parte delle organizzazioni si affida, aiutandole a ottimizzare il rischio della postura di sicurezza.
