CVE-2024-49113 탐지: 공개 PoC를 통한 Windows LDAP 서비스 거부 취약점 LDAPNightmare 악용
목차:
Windows LDAP의 중요한 RCE 취약점에 대한 첫 번째 PoC 익스플로잇이 릴리스된 직후, CVE-2024-49112, 동일한 소프트웨어 프로토콜에서 또 다른 취약점이 Windows 환경에서 소란을 일으키고 있습니다. CVE-2024-49113, LDAPNightmare로도 알려진 새로운 서비스 거부(DoS) 취약점은 공개적으로 접근 가능한 PoC의 릴리스 소식과 함께 헤드라인을 장식하고 있습니다. 악용될 경우 CVE-2024-49113는 LDAP 서비스를 방해하여 서비스 장애를 일으키고 DoS 공격을 가능하게 할 수 있습니다. CVE-2024-49112와 CVE-2024-49113 모두 Windows 시스템 내에서 LDAP의 광범위한 사용 때문에 중요하다고 여겨집니다.
CVE-2024-49113, 즉 LDAPNightmare의 익스플로잇 시도를 탐지
기업 네트워크에서 사용자를 관리하는 주요 데이터베이스로서 Active Directory는 오랫동안 조직 인프라의 핵심 요소였으며, 사이버 범죄자들의 주요 목표가 되어왔습니다. 최근의 추정치에 따르면 Active Directory는 사이버 공격의 최대 90%에 관여하고 있어서, 보안 전문가들은 LDAPNightmare와 같은 위협에 신속히 대응하기 위해 신뢰할 수 있는 탐지 콘텐츠에 접근할 수 있어야 합니다.
다음에 의존하세요: SOC Prime 플랫폼 에서는 모든 활성 위협에 대한 큐레이션된 탐지 콘텐츠를 집단 사이버 방어를 통해 확보하며, 고급 위협 탐지 및 사냥을 위한 완전한 제품군을 지원합니다. 아래의 탐지 탐색 버튼을 누르면 CVE-2024-49113의 익스플로잇 시도를 해결하는 탐지 스택에 즉시 접근할 수 있습니다.
모든 규칙은 30개 이상의 SIEM, EDR 및 Data Lake 기술과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되고 세부 메타데이터, 공격 타임라인, 위협 인텔 참조 및 감사 구성 팁으로 풍부하게 제공됩니다.
CVE-2024-49113, aka LDAPNightmare 분석
SonicWall Capture Labs 팀 이 최근 DoS 취약점인 CVE-2024-49113, aka LDAPNightmare에 대해 밝혔으며, CVSS 점수는 7.5입니다.
Windows 10, 11 및 Windows Server OS에 패치가 적용되지 않으면 인증되지 않은 공격자가 악의적인 CLDAP(연결 없는 경량 디렉터리 접근 프로토콜) 재실행 응답을 보내 서버를 중단시킬 수 있습니다. Active Directory 도메인 컨트롤러에서 LDAP의 중요한 역할을 고려할 때, 프로토콜의 취약점은 심각한 보안 위험을 초래할 수 있습니다. PoC 익스플로잇 의 GitHub 공개로 인해 CVE-2024-49113 공격의 가능성이 증가했습니다.
CVE-2024-49113 익스플로잇의 위험 외에도, 공격자들은 추가적인 위협을 도입합니다. Trend Micro 연구원들이 LDAPNightmare를 위한 가짜 PoC 익스플로잇에 대해서도 경고를 발했습니다., 이는 방어자들이 정보를 훔치는 맬웨어를 다운로드하고 실행하도록 유도하는 것이 목적입니다.
CVE-2024-49113 익스플로잇은 취약 기능에 접근하기 위해 DCE/RPC 메커니즘을 표적으로 합니다. 감염 체인은 클라이언트의 도메인 이름을 포함하는 DsrGetDcNameEx2 요청을 Windows 서버에 보내 반복되는 DCE/RPC 바인드 요청으로 시작합니다. 서버는 제안된 LDAP 서버를 식별하고 연결을 설정하기 위해 DNS SRV 쿼리를 수행합니다. DNS 응답은 LDAP 서버의 호스트 이름과 포트를 제공하며, Windows 서버는 대상으로 CLDAP 요청을 보냅니다.
이 취약점은 wldap32.dll의 LdapChaseReferral 함수에서 범위를 벗어난 읽기 결함에서 발생합니다. 이 함수는 원래의 LDAP 서버가 요청을 수행할 수 없을 때 클라이언트를 리디렉션합니다. 결과적으로 CVE-2024-49113 익스플로잇은 원격 공격자가 서버에서 서비스 거부를 일으킬 수 있게 합니다.
LDAPNightmare 취약점을 무기화하려면 대상이 Active Directory 도메인 컨트롤러 및 네트로그인이 실행 중이어야 합니다. 공격자는 DsrGetDcNameEx2 요청을 적대자의 도메인으로 보내고, DNS 응답을 제어하며, 잘못된 재실행을 보내야 하는 네트워크 접근이 필요하며, 최종적으로 시스템 재부팅으로 이어집니다.
CVE-2024-49113 익스플로잇의 위험을 줄이기 위한 완화 조치로, 2024년 12월 10일 Microsoft는 보안 권고 를 발표하며 사용자에게 최신 패치된 버전으로 시스템 업데이트를 권장했습니다. 즉각적인 업데이트를 적용할 수 없는 경우, 방어자들은 또한 임시 해결책을 적용하는 것을 권장합니다. 예를 들어, 도메인 컨트롤러의 인터넷 연결을 차단하거나 신뢰할 수 없는 네트워크에서의 수신 RPC를 비활성화하는 것입니다. 또한, 조직은 특정 악의적 값을 포함한 의심스러운 CLDAP 재실행 응답, 비정상적인 DsrGetDcNameEx2 호출 및 비정상적인 DNS SRV 쿼리를 모니터링하기 위한 탐지를 설정할 것을 권장합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼 은 진보적인 조직에 고급 위협 탐지, 자동화된 위협 사냥 및 정보 기반 탐지 엔지니어링을 위한 최첨단 제품군을 제공하여 사이버 위협을 스마트하게 대비하고, 취약점 익스플로잇에 대한 사전 방어를 강화할 수 있습니다.
