Detecção de CVE-2024-49113: Vulnerabilidade de Negação de Serviço no Windows LDAP, também conhecida como LDAPNightmare, Explorada via PoC Disponível Publicamente
Índice:
Logo após o lançamento do primeiro exploit PoC para uma vulnerabilidade crítica de RCE no LDAP do Windows, conhecida como CVE-2024-49112, outra vulnerabilidade no mesmo protocolo de software em ambientes Windows está causando alvoroço. A descoberta do CVE-2024-49113, uma nova vulnerabilidade de negação de serviço (DoS), também conhecida como LDAPNightmare, está ganhando as manchetes seguida pela notícia do lançamento do seu PoC publicamente acessível. Assim que explorada, a CVE-2024-49113 pode interromper o serviço LDAP, potencialmente causando interrupções e possibilitando ataques DoS. Ambas as CVE-2024-49112 e CVE-2024-49113 são consideradas críticas devido ao amplo uso do LDAP dentro de sistemas Windows.
Detectar Tentativas de Exploração da CVE-2024-49113, também conhecida como LDAPNightmare
Como o banco de dados principal para gerenciar usuários, computadores e recursos em redes empresariais, o Active Directory há muito é um componente-chave da infraestrutura organizacional, tornando-se um alvo principal para cibercriminosos. Com estimativas recentes mostrando que o Active Directory está envolvido em até 90% dos ciberataques, os profissionais de segurança devem ter acesso a conteúdo de detecção confiável para responder rapidamente a ameaças como o LDAPNightmare.
Confie na Plataforma SOC Prime para defesa cibernética coletiva a fim de obter conteúdo de detecção curado sobre qualquer ameaça ativa, apoiado por um conjunto completo de produtos para detecção e caça avançada de ameaças. Ao pressionar o botão Explorar Detecções abaixo, você pode acessar imediatamente o stack de detecção que aborda as tentativas de exploração da CVE-2024-49113.
Todas as regras são compatíveis com mais de 30 tecnologias SIEM, EDR e Data Lake, mapeadas para o framework MITRE ATT&CK®, e enriquecidas com metadados detalhados, incluindo cronogramas de ataques, inteligência de ameaça referências, e dicas para configuração de auditoria.
Análise da CVE-2024-49113, também conhecida como LDAPNightmare
A equipe do SonicWall Capture Labs recentemente esclareceu uma nova vulnerabilidade de DoS conhecida como CVE-2024-49113, também chamada LDAPNightmare, com um score CVSS de 7.5.
Se o Windows 10, 11 e os sistemas operacionais do Windows Server não forem atualizados com os patches, um invasor não autenticado pode potencialmente causar a queda do servidor enviando uma resposta de referência CLDAP (Protocolo Leve de Acesso a Diretório sem Conexão) maliciosa. Dado o papel crítico do LDAP em Controladores de Domínio do Active Directory, as vulnerabilidades no protocolo podem apresentar riscos significativos à segurança. A divulgação pública de um exploit PoC no GitHub aumentou o potencial para ataques CVE-2024-49113.
Além dos riscos da exploração da CVE-2024-49113, os atacantes introduzem ameaças adicionais. Pesquisadores da Trend Micro também emitiram um aviso sobre um exploit PoC falso para LDAPNightmare, destinado a enganar os defensores para baixar e executar malware de roubo de informações.
O exploit CVE-2024-49113 mira o mecanismo DCE/RPC para acessar funcionalidade vulnerável. A cadeia de infecção começa com uma solicitação de vinculação DCE/RPC ao servidor Windows, seguida por uma solicitação DsrGetDcNameEx2 contendo o nome do domínio do cliente. O servidor então realiza uma consulta DNS SRV para identificar o servidor LDAP alvo e estabelecer uma conexão. A resposta DNS fornece o nome do host e a porta do servidor LDAP, levando o servidor Windows a enviar uma solicitação CLDAP para a instância alvo.
A vulnerabilidade decorre de uma falha de leitura fora dos limites na função LdapChaseReferral do wldap32.dll. Esta função redireciona clientes quando o servidor LDAP original não pode atender a uma solicitação. Como resultado, a exploração da CVE-2024-49113 dá a um invasor remoto o sinal verde para causar uma negação de serviço no servidor.
Armar a vulnerabilidade LDAPNightmare requer que o alvo seja um Controlador de Domínio do Active Directory com netlogon em execução. O invasor deve ter acesso à rede para enviar uma solicitação DsrGetDcNameEx2 com um domínio controlado pelo adversário, controlar a resposta DNS e enviar uma referência malformada, levando finalmente a um reinício do sistema.
Como medidas potenciais de mitigação da CVE-2024-49113 para reduzir os riscos de exploração, em 10 de dezembro de 2024, a Microsoft lançou um aviso de segurança instando os usuários a atualizarem seus sistemas para a versão mais recente corrigida. Se atualizações imediatas não puderem ser aplicadas, defensores também recomendam a aplicação de soluções temporárias, como bloquear a conectividade com a internet para controladores de domínio ou desativar o RPC de entrada de redes não confiáveis. Além disso, recomenda-se que as organizações configurem detecções para monitorar respostas de referência CLDAP suspeitas (com um valor malicioso específico), chamadas DsrGetDcNameEx2 incomuns e consultas DNS SRV anormais. Plataforma SOC Prime para defesa cibernética coletiva fornece às organizações progressistas um conjunto de produtos de ponta para detecção avançada de ameaças, caça automática de ameaças e engenharia de detecção orientada por inteligência para escalar inteligentemente as ameaças cibernéticas e elevar as defesas proativas contra a exploração de vulnerabilidades.
