CVE-2024-49113 検出: LDAPNightmare として知られる Windows LDAP サービス拒否の脆弱性が公開されている PoC によって悪用された経緯

Windows LDAP の重大な RCE 脆弱性に対する最初の PoC エクスプロイトのリリースに続き、 CVE-2024-49112として知られる、Windows 環境における同じソフトウェア プロトコルのもう一つの脆弱性が波紋を呼んでいます。新しいサービス拒否 (DoS) 脆弱性である CVE-2024-49113、別名 LDAPNightmare の発見は、その公開アクセス可能な PoC のリリースのニュースと共に注目を集めています。CVE-2024-49113 を悪用されると、LDAP サービスを中断させ、サービス停止や DoS 攻撃を引き起こす可能性があります。CVE-2024-49112 および CVE-2024-49113 は、Windows システム内で LDAP が広く使用されているため、重大な脆弱性と見なされています。

CVE-2024-49113 別名 LDAPNightmare のエクスプロイト試行を検出する

エンタープライズ ネットワークでユーザー、コンピューター、およびリソースを管理するための主要データベースとして、Active Directory は長い間組織インフラストラクチャの重要なコンポーネントであり、サイバー犯罪者の主要な標的となっています。最近の 推定では Active Directory がサイバー攻撃の最大 90% に関与していることを示しており、セキュリティ専門家は LDAPNightmare のような脅威に迅速に対応するために信頼できる検出コンテンツへアクセスする必要があります。

に依存 SOC Prime プラットフォーム は、あらゆるアクティブな脅威に対するキュレーションされた検出コンテンツを取得し、脅威検出およびハンティングのための完全な製品スイートをバックアップします。下の 検出を探る ボタンを押すことで、CVE-2024-49113 のエクスプロイトを対象とした検出スタックにすぐにアクセスできます。

検出を探る

すべてのルールは、30 以上の SIEM、EDR、および Data Lake テクノロジーと互換性があり、 MITRE ATT&CK® フレームワークにマッピングされ、攻撃のタイムラインを含む詳細なメタデータで強化されています。 脅威インテル の参照、および監査設定のヒント。

CVE-2024-49113 別名 LDAPNightmare 分析

SonicWall Capture Labs チーム が最近、LDAPNightmare として知られる新しい DoS 脆弱性 CVE-2024-49113 とその CVSS スコア 7.5. 

を強調しました。Windows 10、11、および Windows Server OS にパッチが適用されていない場合、未認証の攻撃者が悪意のある CLDAP(接続レス ライトウェイト ディレクトリ アクセス プロトコル) リファラル レスポンスを送信することで、サーバーをクラッシュさせる可能性があります。LDAP が Active Directory ドメイン コントローラーで重要な役割を果たしているため、プロトコル内の脆弱性は重大なセキュリティ リスクをもたらす可能性があります。 PoC エクスプロイト が GitHub に公開され、CVE-2024-49113 攻撃の可能性が高まりました。

CVE-2024-49113 のエクスプロイトのリスクに加えて、攻撃者はさらに脅威を引き起こしています。トレンドマイクロの研究者も、LDAPNightmare の 偽の PoC エクスプロイトについて警告を発しており、防御者を騙して情報を盗むマルウェアをダウンロードおよび実行させようとしています。

CVE-2024-49113 エクスプロイトは、DCE/RPC メカニズムを対象に、脆弱な機能にアクセスします。感染連鎖は、Windows サーバーへの DCE/RPC バインド要求から始まり、クライアントのドメイン名を含む DsrGetDcNameEx2 要求に続きます。サーバーは次に DNS SRV クエリを実行し、ターゲット LDAP サーバーを識別して接続を確立します。DNS レスポンスは LDAP サーバーのホスト名とポートを提供し、Windows サーバーをターゲットインスタンスに CLDAP 要求を送信させます。

脆弱性は、wldap32.dll の LdapChaseReferral 関数のアウトオブバウンズ読み取りの欠陥に由来します。この関数は、元の LDAP サーバーが要求を満たせない場合にクライアントをリダイレクトします。その結果、CVE-2024-49113 のエクスプロイトにより、リモート攻撃者はサーバーでサービス拒否を引き起こす可能性があります。

LDAPNightmare の脆弱性を武器化するには、対象が netlogon を実行している Active Directory ドメイン コントローラーである必要があります。攻撃者はネットワークアクセスを持ち、敵対者所有のドメインで DsrGetDcNameEx2 要求を送信し、DNS 応答を制御し、不正なリファラルを送信して、最終的にシステムの再起動を引き起こします。

CVE-2024-49113 のエクスプロイトの可能性を減らすための潜在的な緩和策として、2024 年 12 月 10 日に、Microsoft は セキュリティアドバイザリ を発表し、ユーザーにシステムを最新のパッチ適用済みバージョンに更新するよう促しています。すぐに更新を適用できない場合は、防御者も一時的な回避策を講じることを推奨しています。具体的には、ドメインコントローラーのインターネット接続を遮断することや、信頼されていないネットワークからの着信 RPC を無効にすることです。さらに、組織には特定の悪意のある値を持つ疑わしい CLDAP リファラル レスポンス、異常な DsrGetDcNameEx2 呼び出し、および異常な DNS SRV クエリを監視する検出を設定することを推奨しています。 集団的サイバー防衛のための SOC Prime プラットフォーム は、進歩的な組織に対して、先進の脅威検出、自動脅威ハンティング、およびインテリジェンス駆動の検出エンジニアリングのための先端的な製品スイートを提供し、脆弱性の悪用に対するプロアクティブな防御を強化しながらサイバー脅威を賢く凌駕します。