CVE-2024-49112 検出: クリティカルなLDAP RCE脆弱性のゼロクリックPoCエクスプロイトが未パッチのWindowsサーバーを破壊する可能性

2024年に、 脆弱性 の悪用が占めたのは 侵害エントリーポイントの14%であり、前年からほぼ三倍の増加を示している。この傾向は2025年まで続く可能性がある。2025年1月の初めに、防御者は未修正のWindowsサーバーをクラッシュさせることができる最初のPoCエクスプロイトをリリースした。これは、CVE-2024-49112として追跡されるWindows Lightweight Directory Access Protocol (LDAP) における重大なRCE脆弱性を利用している。

CVE-2024-49112の悪用試行を検出する

プロアクティブな脆弱性検出は2025年の主要なサイバーセキュリティ優先事項の1つであると予想されている。セキュリティープラクティショナーは、リアルタイムで潜在的な脅威を識別するための関連する検出コンテンツの信頼できるソースをますます求めている。 SOC Primeプラットフォーム は、新たな脅威と既存の脅威の両方に対して、業界初のCTI強化検出ルールフィードを提供することで、このニーズに応えている。包括的な製品スイートに裏打ちされたこのプラットフォームは、高度な脅威検出、AI駆動の検出エンジニアリング、および自動化された脅威ハンティングをサポートしている。

SOC Primeプラットフォームに依存してCVE-2024-49112の悪用試行を識別する。「 検出を探る 」ボタンを以下で押し、 MITRE ATT&CK にマップされ、30以上のSIEM、EDR、およびデータレイクソリューションと互換性のあるキュレーションされたSigmaルールのセットに即座にドリルダウンする。すべてのルールは、攻撃タイムライン、トリアージ推奨事項、およびその他の関連メタデータを含む広範な脅威インテリジェンスで豊富にされている。

検出を探る

CVE-2024-49112分析

2024年12月、マイクロソフトは RCE ドメインコントローラーに影響を及ぼす脆弱性を発表し、 CVE-2024-49112として識別された。その欠陥は、CVSSスコアが10点中9.8を得た。しかし、その重大な性質にもかかわらず、公にエクスプロイトや脆弱性の詳細な説明は即座には共有されなかった。2025年の初めに、 SafeBreach Labsの研究者 は、Windows LDAPのこの重大なRCE脆弱性に対する最初のゼロクリックPoCエクスプロイトを発表した。このエクスプロイトは、ドメインコントローラーに限定されず、インターネットアクセスを持つ被害者のDNSサーバーを要するだけで、その他の前提条件なく未修正のWindowsサーバーをクラッシュさせることができる。

感染チェーンは、被害者サーバーにDCE/RPCリクエストを送信することから始まる。その後、特定のドメインに対してDNS SRVクエリが開始される。攻撃者のDNSサーバーは独自のホスト名とLDAPポートで応答する。そして標的サーバーは攻撃者のホスト名をIPアドレスに解決するためにNBNSリクエストをブロードキャストする。敵は自分のIPアドレスでNBNSリクエストに応答する。結果として、この影響を受けたサーバーはLDAPクライアントとして振る舞い、攻撃者のマシンにCLDAPリクエストを送信する。最終的に、敵はクラフトされたCLDAPリファラーパケットで応答し、標的サーバーのLSASSがシステムをクラッシュさせて再起動することを引き起こす。

2024年12月に、 マイクロソフトはCVE-2024-49112の背景を提供し、で攻撃者がこのセキュリティ問題を兵器化しLDAPサービス内で任意コードを実行できることを言及した。ドメインコントローラーの場合、悪用は攻撃者のドメインのルックアップを引き起こすために細工されたRPCコールの送信が必要である。LDAPクライアントアプリケーションにおいては、攻撃者は被害者を騙してドメインコントローラーのルックアップを実行させるか、悪意のあるLDAPサーバーに接続させなければならない。研究者たちはまた、どちらの場合も認証なしのRPCコールは成功しないだろうと付け加えた。

マイクロソフトのセキュリティアップデートに基づいて、SafeBreach Labsチームはまた、CVE-2024-49112の悪用の場合、ハッカーが認証を必要としないことを結論づけた。それは、脆弱性がLDAPクライアントロジックを処理する実行可能ファイルまたはDLL内の整数オーバーフローであるためである。特定のRPCコールを悪用することで、脅威アクターは悪意のあるLDAPサーバーをドメインコントローラーにクエリさせることができるのだ。さらに、防御者は、 興味深い観測を発見しました 、Microsoftのこの脆弱性のパッチがwldap32.dllにあるかもしれないとしました。

SafeBreach Labsは主にWindows Server 2022(DC) とWindows Server 2019(non-DC)でテストしたにもかかわらず、エクスプロイト方法とPoCはすべてのWindows Serverバージョンに適用可能であると考えている。潜在的なCVE-2024-49112の軽減策として、組織には、 マイクロソフトのパッチを適用することが求められており、それにより悪用とサーバークラッシュを効果的に防ぐ。防御者はまた、パッチが実装されるまで、疑わしいCLDAPリファラー応答、DsrGetDcNameEx2コール、およびDNS SRVクエリの監視を推奨している。 集団サイバー防御のためのSOC Primeプラットフォーム は、サイバー脅威をあらゆる規模や複雑さでアウトスケールし、人気のあるソフトウェア製品におけるCVEを含む、リスク最適化されたセキュリティ姿勢を組織が維持するのを助けながらサポートする。