CVE-2024-49112 탐지: 해결되지 않은 윈도우 서버를 망가뜨릴 수 있는 중요한 LDAP RCE 취약점의 제로 클릭 PoC 익스플로잇
목차:
2024년에, 취약점 악용이 차지한 비율은 14%였습니다. 이는 전년도에 비해 거의 세 배 증가한 것이며, 이러한 경향은 2025년까지 지속될 수 있습니다. 2025년 1월 초, 방어자들은 패치가 안 된 Windows Servers를 충돌시킬 수 있는 최초의 PoC 익스플로잇을 발표했습니다. 이는 CVE-2024-49112로 추적되는 Windows Lightweight Directory Access Protocol (LDAP)의 치명적 RCE 취약점을 이용한 것이었습니다.
CVE-2024-49112 악용 시도 감지
사전 취약점 탐지는 2025년에도 가장 중요한 사이버 보안 우선사항 중 하나로 남을 것으로 예상됩니다. 보안 실무자들은 실제 시간으로 잠재적 위협을 식별하기 위해 신뢰할 수 있는 관련 탐지 콘텐츠 소스를 점점 더 많이 찾고 있습니다. SOC Prime 플랫폼 은 신흥 및 기존 위협에 대한 업계 최초의 CTI 강화 탐지 규칙 피드를 제공함으로써 이러한 필요를 해결합니다. 포괄적인 제품군을 지원하는 이 플랫폼은 고급 위협 탐지, AI 기반의 탐지 엔지니어링 및 자동화된 위협 사냥을 지원합니다.
SOC Prime 플랫폼에 의존하여 CVE-2024-49112 악용 시도를 식별하세요. 아래의 탐지 탐색 버튼을 눌러 즉시 MITRE ATT&CK 에 매핑되고 30개 이상의 SIEM, EDR, 데이터 레이크 솔루션과 호환되는 엄선된 Sigma 규칙 세트를 깊이 있게 파고드세요. 모든 규칙은 공격 타임라인, 초기 대응 권장 사항 및 기타 관련 메타데이터를 포함한 광범위한 위협 인텔로 강화되어 있습니다.
CVE-2024-49112 분석
2024년 12월, Microsoft는 도메인 컨트롤러에 영향을 미치는 RCE 취약점을 공개했으며, 이는 CVE-2024-49112로 식별되었습니다. 이 결함은 10점 만점에 9.8의 CVSS 점수를 받았습니다. 그러나 그 치명적 성격에도 불구하고, 공개된 익스플로잇이나 취약점에 대한 상세한 설명은 즉시 공유되지 않았습니다. 2025년 초, SafeBreach Labs 연구진은 Windows LDAP의 이 치명적 RCE 취약점에 대한 최초의 제로 클릭 PoC 익스플로잇을 발표했습니다. 이 익스플로잇은 피해자의 DNS 서버에 인터넷 접근 권한만 있으면 추가적인 전제 조건 없이 도메인 컨트롤러에 국한되지 않고 패치되지 않은 Windows 서버를 충돌시킬 수 있습니다.
감염 체인은 피해 서버에 DCE/RPC 요청을 보내면서 시작되고, 이는 선택한 도메인에 대해 DNS SRV 쿼리를 시작합니다. 공격자의 DNS 서버는 자신의 호스트 이름과 LDAP 포트로 응답합니다. 그런 다음, 대상 서버는 공격자의 호스트 이름을 IP 주소로 해석하는 NBNS 요청을 브로드캐스트합니다. 상대방은 NBNS 요청에 자신의 IP 주소로 응답합니다. 결과적으로, 영향 받은 서버는 이제 LDAP 클라이언트로 작동하여 상대방의 머신에 CLDAP 요청을 보냅니다. 마지막으로, 상대방은 가공된 CLDAP 리퍼럴 패킷으로 응답하여 대상 서버의 LSASS가 시스템을 충돌시켜 재부팅하도록 만듭니다.
2024년 12월, Microsoft는 CVE-2024-49112의 맥락을 제공했으며, 이 보안 문제를 무기화하는 인증되지 않은 공격자가 LDAP 서비스 내에서 임의의 코드를 실행할 수 있다고 언급했습니다. 도메인 컨트롤러의 경우, 익스플로잇은 공격자의 도메인 조회를 유발하는 가공된 RPC 호출을 보내는 것을 필요로 합니다. LDAP 클라이언트 응용 프로그램의 경우, 공격자는 피해자를 도메인 컨트롤러 조회를 수행하거나 악성 LDAP 서버에 연결하도록 속여야 합니다. 연구진은 인증되지 않은 RPC 호출은 어떤 경우에도 성공하지 않을 것이라고 덧붙였습니다.
Microsoft의 보안 업데이트를 바탕으로, SafeBreach Labs 팀은 CVE-2024-49112의 악용에서는 인증이 필요하지 않으며, 취약점이 LDAP 클라이언트 로직을 처리하는 실행 파일이나 DLL에서의 정수 오버플로우이기 때문이라는 결론을 내렸습니다. 특정 RPC 호출을 악용함으로써, 위협 행위자는 도메인 컨트롤러가 악성 LDAP 서버를 쿼리하도록 만들 수 있습니다. 또한 방어자들은 흥미로운 관찰을 발견했습니다 Microsoft의 취약점 패치는 wldap32.dll에 위치할 수도 있습니다.
SafeBreach Labs는 주로 Windows Server 2022 (DC)와 Windows Server 2019 (비-DC)에서 테스트했지만, 익스플로잇 방법과 PoC는 모든 Windows Server 버전에 적용 가능하다고 믿습니다. 잠재적인 CVE-2024-49112 완화 조치로서, 조직은 Microsoft 패치를적용할 것을 권장하고 있으며, 이는 악용과 서버 충돌을 효과적으로 방지합니다. 방어자들은 패치가 구현될 때까지 의심스러운 CLDAP 리퍼럴 응답, DsrGetDcNameEx2 호출 및 DNS SRV 쿼리를 모니터링할 것을 권장합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼 은 보안 팀이 모든 규모와 복잡성의 사이버 위협, 특히 대부분의 조직이 의존하는 인기 있는 소프트웨어 제품의 CVE를 포함하여 위험을 최적화된 보안 태세로 도와줄 수 있도록 합니다.
