Detecção CVE-2024-49112: Exploit PoC de Zero-Click para uma Vulnerabilidade Crítica de RCE LDAP Pode Comprometer Servidores Windows Sem Patches
Índice:
Em 2024, a exploração de vulnerabilidades representou 14% dos pontos de entrada de violações , marcando um aumento quase triplo em relação ao ano anterior — uma tendência que pode persistir até 2025. No início de janeiro de 2025, os defensores lançaram o primeiro exploit PoC que pode derrubar servidores Windows não corrigidos explorando uma vulnerabilidade crítica de RCE no Protocolo de Acesso Direto e Leve (LDAP) do Windows, rastreada como CVE-2024-49112., marking a nearly threefold increase from the previous year—a trend that could persist into 2025. At the turn of January 2025, defenders released the first PoC exploit that can crash unpatched Windows Servers by leveraging a critical RCE vulnerability in the Windows Lightweight Directory Access Protocol (LDAP) tracked as CVE-2024-49112.
Detectar Tentativas de Exploração do CVE-2024-49112
A detecção proativa de vulnerabilidades deverá continuar sendo uma das principais prioridades de cibersegurança em 2025. Profissionais de segurança estão cada vez mais buscando fontes confiáveis de conteúdo de detecção relevante para identificar ameaças potenciais em tempo real. A Plataforma SOC Prime endereço essa necessidade ao fornecer o primeiro feed de regras de detecção enriquecido com CTI da indústria para ameaças emergentes e existentes. Apoiada por um conjunto abrangente de produtos, a plataforma suporta detecção avançada de ameaças, engenharia de detecção orientada por IA e caça automatizada de ameaças.
Confie na Plataforma SOC Prime para identificar tentativas de exploração do CVE-2024-49112. Clique no botão Explorar Detecções abaixo e vá imediatamente para um conjunto selecionado de regras Sigma mapeadas para o MITRE ATT&CK e compatíveis com mais de 30 soluções SIEM, EDR e Data Lake. Todas as regras são enriquecidas com extensa inteligência sobre ameaças, incluindo cronogramas de ataques, recomendações de triagem e outros metadados relevantes.
Análise do CVE-2024-49112
Em dezembro de 2024, a Microsoft revelou uma RCE vulnerabilidade que afeta os controladores de domínio, identificada como CVE-2024-49112. A falha recebeu uma pontuação CVSS de 9.8 em 10. No entanto, apesar de sua natureza crítica, nenhum exploit público ou explicação detalhada da vulnerabilidade foi compartilhado instantaneamente. No início de 2025, pesquisadores da SafeBreach Labs publicaram o primeiro exploit PoC zero-click para essa vulnerabilidade crítica de RCE no Windows LDAP. O exploit pode derrubar servidores Windows não corrigidos, não se limitando a controladores de domínio, exigindo apenas que o servidor DNS da vítima tenha acesso à Internet, sem requisitos adicionais.
A cadeia de infecção começa com o envio de uma solicitação DCE/RPC para o servidor da vítima, que inicia uma consulta DNS SRV para um domínio escolhido. O servidor DNS do atacante responde com seu próprio nome de host e porta LDAP. O servidor alvo então transmite uma solicitação NBNS para resolver o nome de host do atacante para um endereço IP. Os adversários respondem à solicitação NBNS com seu endereço IP. Como resultado, o servidor impactado, agora atuando como cliente LDAP, envia uma solicitação CLDAP para a máquina do atacante. Finalmente, os adversários respondem com um pacote de referência CLDAP criado, causando a queda do sistema LSASS no servidor alvo e forçando uma reinicialização.
Em dezembro de 2024, A Microsoft forneceu o contexto do CVE-2024-49112, mencionando que atacantes não autenticados explorando esse problema de segurança poderiam executar código arbitrário dentro do serviço LDAP. Para controladores de domínio, a exploração requer o envio de chamadas RPC elaboradas para acionar uma busca no domínio do atacante. Para aplicações cliente de LDAP, o atacante deve enganar a vítima para realizar uma consulta no controlador de domínio ou se conectar a um servidor LDAP malicioso. Pesquisadores acrescentaram que chamadas RPC não autenticadas não teriam sucesso em nenhum dos casos.
Com base na atualização de segurança da Microsoft, a equipe da SafeBreach Labs também concluiu que para explorar o CVE-2024-49112, os hackers não precisam de autenticação, uma vez que a vulnerabilidade é um overflow de inteiro em um executável ou DLL que manipula a lógica do cliente LDAP. Ao explorar certas chamadas RPC, os atores de ameaça podem fazer um controlador de domínio consultar um servidor LDAP malicioso. Além disso, os defensores descobriram uma observação interessante que o patch da Microsoft para a vulnerabilidade pode estar localizado no wldap32.dll.
Embora a SafeBreach Labs tenha testado principalmente no Windows Server 2022 (DC) e no Windows Server 2019 (não DC), eles acreditam que o método de exploração e o PoC são aplicáveis a todas as versões do Windows Server. Como medidas potenciais de mitigação do CVE-2024-49112, as organizações são estimuladas a aplicar o patch da Microsoft, que previne efetivamente a exploração e quedas de servidores. Os defensores também recomendam monitorar respostas de referência CLDAP suspeitas, chamadas DsrGetDcNameEx2 e consultas DNS SRV até que o patch seja implementado. Plataforma SOC Prime para defesa cibernética coletiva permite que as equipes de segurança superem ameaças cibernéticas de qualquer escala e sofisticação, incluindo CVEs em produtos de software populares dos quais a maioria das organizações depende, ao mesmo tempo que as ajuda a otimizar o risco da postura de segurança.
