Rilevazione CVE-2024-49113: Vulnerabilità Denial-of-Service LDAP di Windows nota come LDAPNightmare Sfruttata tramite un PoC Disponibile Pubblicamente
Indice:
Sull’onda dell’uscita del primo exploit PoC per una vulnerabilità critica RCE nell’LDAP di Windows, nota come CVE-2024-49112, un’altra vulnerabilità nello stesso protocollo software in ambienti Windows sta causando scalpore. Una scoperta di CVE-2024-49113, una nuova vulnerabilità di denial-of-service (DoS), nota anche come LDAPNightmare, sta facendo notizia seguita dalla notizia del rilascio del suo PoC accessibile al pubblico. Una volta sfruttata, CVE-2024-49113 può interrompere il servizio LDAP, potenzialmente causando interruzioni di servizio e consentendo attacchi DoS. Sia CVE-2024-49112 che CVE-2024-49113 sono considerate critiche a causa dell’ampio utilizzo di LDAP all’interno dei sistemi Windows.
Rileva i Tentativi di Sfruttamento di CVE-2024-49113 aka LDAPNightmare
In qualità di database principale per la gestione di utenti, computer e risorse nelle reti aziendali, Active Directory è da tempo un componente chiave dell’infrastruttura organizzativa, rendendola un obiettivo primario per i criminali informatici. Con recenti stime che mostrano che Active Directory è coinvolta in fino al 90% degli attacchi informatici, i professionisti della sicurezza devono avere accesso a contenuti di rilevamento affidabili per rispondere rapidamente a minacce come LDAPNightmare.
Affidati alla piattaforma SOC Prime per la difesa informatica collettiva per ottenere contenuti di rilevamento curati su qualsiasi minaccia attiva, supportati da una suite completa di prodotti per l’avanzato rilevamento e caccia alle minacce. Premendo il pulsante Scopri Rilevamenti qui sotto, puoi accedere immediatamente alla stack di rilevamento che affronta i tentativi di sfruttamento di CVE-2024-49113.
Tutte le regole sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake, mappate al quadro MITRE ATT&CK®, e arricchite con metadati dettagliati, incluse le linee temporali degli attacchi, informazioni di intelligence sulle minacce riferimenti, e suggerimenti sulla configurazione di audit.
Analisi di CVE-2024-49113 aka LDAPNightmare
Il team di SonicWall Capture Labs ha recentemente fatto luce su una nuova vulnerabilità DoS nota come CVE-2024-49113, ovvero LDAPNightmare, con un punteggio CVSS di 7.5.
Se i sistemi operativi Windows 10, 11 e Windows Server non sono aggiornati con le patch, un attaccante non autenticato può potenzialmente far crashare il server inviando una risposta di referral CLDAP (Connectionless Lightweight Directory Access Protocol) dannosa. Dato il ruolo critico di LDAP nei controller di dominio Active Directory, le vulnerabilità nel protocollo possono presentare significativi rischi per la sicurezza. La divulgazione pubblica di un exploit PoC su GitHub ha aumentato il potenziale per gli attacchi CVE-2024-49113.
Oltre ai rischi dello sfruttamento di CVE-2024-49113, gli attaccanti introducono ulteriori minacce. I ricercatori di Trend Micro hanno anche emesso un avviso riguardo a un exploit PoC falso per LDAPNightmare, destinato a ingannare i difensori inducendoli a scaricare ed eseguire malware per il furto di informazioni.
L’exploit CVE-2024-49113 prende di mira il meccanismo DCE/RPC per accedere alla funzionalità vulnerabile. La catena di infezione inizia con una richiesta di bind DCE/RPC al server Windows, seguita da una richiesta DsrGetDcNameEx2 contenente il nome di dominio del client. Il server quindi esegue una query DNS SRV per identificare il server LDAP di destinazione e stabilire una connessione. La risposta DNS fornisce il nome host e la porta del server LDAP, inducendo il server Windows a inviare una richiesta CLDAP all’istanza mirata.
La vulnerabilità deriva da un difetto di lettura out-of-bounds nella funzione LdapChaseReferral del wldap32.dll. Questa funzione reindirizza i client quando il server LDAP originale non può soddisfare una richiesta. Di conseguenza, lo sfruttamento di CVE-2024-49113 dà a un attaccante remoto il via libera per causare un denial of service sul server.
Armare la vulnerabilità LDAPNightmare richiede che l’obiettivo sia un controller di dominio Active Directory con netlogon in esecuzione. L’attaccante dovrebbe avere accesso alla rete per inviare una richiesta DsrGetDcNameEx2 con un dominio posseduto dall’avversario, controllare la risposta DNS e inviare un referral malformato, portando infine a un riavvio del sistema.
Come possibili misure di mitigazione di CVE-2024-49113 per ridurre i rischi di sfruttamento, il 10 dicembre 2024 Microsoft ha rilasciato un avviso di sicurezza invitando gli utenti ad aggiornare i loro sistemi all’ultima versione patchata. Se non è possibile applicare aggiornamenti immediati, i difensori raccomandano anche di applicare soluzioni temporanee come bloccare la connettività internet per i controller di dominio o disabilitare l’RPC in ingresso da reti non fidate. Inoltre, si raccomanda alle organizzazioni di impostare rilevamenti per monitorare risposte di referral CLDAP sospette (con un valore specifico malevolo), chiamate DsrGetDcNameEx2 insolite e query DNS SRV anomale. Piattaforma SOC Prime per la difesa informatica collettiva fornisce alle organizzazioni progressiste una suite di prodotti all’avanguardia per il rilevamento avanzato delle minacce, la caccia automatizzata alle minacce e l’ingegneria di rilevamento guidata dall’intelligence per superare intelligentemente le minacce informatiche ed elevare le difese proattive contro lo sfruttamento delle vulnerabilità.
