Byl zveřejněn proof-of-concept (PoC) exploit pro nyní opravenou bezpečnostní chybu ovlivňující Windows Lightweight Directory Access Protocol (LDAP), která by mohla vyvolat stav denial-of-service (DoS).
Zranitelnost typu out-of-bounds reads je sledována pod označením CVE-2024-49113 (CVSS skóre: 7,5). Společnost Microsoft ji řešila v rámci aktualizací Patch Tuesday pro prosinec 2024, spolu s CVE-2024-49112 (CVSS skóre: 9,8), kritickou chybou přetečení celého čísla ve stejném komponentu, která by mohla vést k vzdálenému spuštění kódu. Za objevení a nahlášení obou zranitelností je zodpovědný nezávislý bezpečnostní výzkumník Yuki Chen (@guhe120).
PoC CVE-2024-49113, vyvinutý laboratořemi SafeBreach a kódově pojmenovaný LDAPNightmare, je navržen tak, aby způsobil pád jakéhokoli neopraveného Windows Serveru bez jakýchkoli předpokladů, kromě toho, že DNS server oběti DC má připojení k internetu. Konkrétně zahrnuje odeslání požadavku DCE/RPC na server oběti, což nakonec způsobí pád služby Local Security Authority Subsystem Service (LSASS) a vynutí restart, když je odeslán speciálně vytvořený CLDAP referral response packet s nenulovou hodnotou pro „lm_referral“.
Ještě horší je, že kalifornská kyberbezpečnostní společnost zjistila, že stejný řetězec exploitů by mohl být také využit k dosažení vzdáleného spuštění kódu (CVE-2024-49112) úpravou CLDAP packetu.
Poradce společnosti Microsoft pro CVE-2024-49113 je skoupý na technické detaily, ale výrobce Windows odhalil, že CVE-2024-49112 by mohl být zneužit odesláním RPC požadavků z nedůvěryhodných sítí k provedení libovolného kódu v kontextu služby LDAP.
„V kontextu zneužití řadiče domény pro server LDAP musí útočník k úspěchu odeslat speciálně vytvořené RPC volání na cíl, aby vyvolal vyhledávání domény útočníka,“ uvedl Microsoft.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
