[4]针对 Windows 零点击漏洞 CVE202449112 发布 PoC 漏洞利用程序-小百科

小百科,大世界
SafeBreach 实验室揭示了 Windows Lightweight Directory Access Protocol (LDAP) 服务中的一个零点击漏洞，该漏洞被称为 “LDAP 恶梦”。这个关键漏洞被追踪为 CVE-2024-49112，CVSS 得分为 9.8，凸显了它对企业网络的严重影响。SafeBreach 研究人员演示了该漏洞如何使未打补丁的 Windows 服务器（包括 Active Directory 域控制器 (DC)）崩溃。 CVE-2024-49112是LDAP中的一个远程代码执行（RCE）漏洞，于2024年12月10日在微软补丁星期二期间首次披露。LDAP 是微软活动目录（Active Directory）中不可或缺的部分，它促进了跨组织网络的目录服务通信。SafeBreach 实验室团队强调说：“在 DC 上运行代码或通过 DC 提升用户权限的能力会严重影响网络安全态势。” 虽然微软承认存在风险，但在 SafeBreach 进行分析之前，有关利用路径的细节仍然很少。研究人员指出：“我们团队决定优先处理这一问题，并为我们的发现感到自豪，这些发现将帮助企业解决任何潜在的风险。” SafeBreach 开发了一个概念验证（PoC）漏洞，演示了 CVE-2024-49112 漏洞的破坏性影响。他们的研究结果表明：除了 DNS 服务器的互联网连接外，不需要任何验证或先决条件。可通过 LDAP 查询触发 LSASS（本地安全授权子系统服务）崩溃，从而使未打补丁的 Windows 服务器崩溃。利用过程包括：攻击流程 SafeBreach 实验室向受害者服务器发送 DCE/RPC 请求。触发有关攻击者控制域（如 SafeBreachLabs.pro）的 DNS SRV 查询。操纵 NetBIOS 和 CLDAP 响应，将受害者重定向到攻击者的 LDAP 服务器。使用伪造的 LDAP 转发响应，使受害者的 LSASS 崩溃并强制重启。 SafeBreach 在调查结果中强调了这一技术： “条件检查’lm_referral’值是否在’转介表’的范围内。在未打补丁的漏洞版本中，该’lm_referral’值确实被用于访问推荐表内的某个偏移量。” 该漏洞影响所有未打补丁的 Windows Server 版本，从 Windows Server 2019 到 2022。利用该漏洞可能会使对手完全控制域资源或使关键基础设施崩溃。为了降低风险，企业应该：立即应用微软的补丁。经 SafeBreach 验证，该补丁可有效防止漏洞利用。监控可疑活动，如异常的 CLDAP 引用响应、DsrGetDcNameEx2 调用或 DNS SRV 查询。 SafeBreach 还发布了针对 CVE-2024-49112 测试易受攻击 Windows Server 的 PoC 工具，该工具可在其 GitHub 存储库中获取。本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/303196 安全KER - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

SafeBreach 实验室揭示了 Windows Lightweight Directory Access Protocol (LDAP) 服务中的一个零点击漏洞，该漏洞被称为 “LDAP 恶梦”。这个关键漏洞被追踪为 CVE-2024-49112，CVSS 得分为 9.8，凸显了它对企业网络的严重影响。SafeBreach 研究人员演示了该漏洞如何使未打补丁的 Windows 服务器（包括 Active Directory 域控制器 (DC)）崩溃。

CVE-2024-49112是LDAP中的一个远程代码执行（RCE）漏洞，于2024年12月10日在微软补丁星期二期间首次披露。LDAP 是微软活动目录（Active Directory）中不可或缺的部分，它促进了跨组织网络的目录服务通信。SafeBreach 实验室团队强调说：“在 DC 上运行代码或通过 DC 提升用户权限的能力会严重影响网络安全态势。”

虽然微软承认存在风险，但在 SafeBreach 进行分析之前，有关利用路径的细节仍然很少。研究人员指出：“我们团队决定优先处理这一问题，并为我们的发现感到自豪，这些发现将帮助企业解决任何潜在的风险。”

SafeBreach 开发了一个概念验证（PoC）漏洞，演示了 CVE-2024-49112 漏洞的破坏性影响。他们的研究结果表明：

除了 DNS 服务器的互联网连接外，不需要任何验证或先决条件。
可通过 LDAP 查询触发 LSASS（本地安全授权子系统服务）崩溃，从而使未打补丁的 Windows 服务器崩溃。

利用过程包括：

攻击流程 SafeBreach 实验室

向受害者服务器发送 DCE/RPC 请求。
触发有关攻击者控制域（如 SafeBreachLabs.pro）的 DNS SRV 查询。
操纵 NetBIOS 和 CLDAP 响应，将受害者重定向到攻击者的 LDAP 服务器。
使用伪造的 LDAP 转发响应，使受害者的 LSASS 崩溃并强制重启。

SafeBreach 在调查结果中强调了这一技术： “条件检查’lm_referral’值是否在’转介表’的范围内。在未打补丁的漏洞版本中，该’lm_referral’值确实被用于访问推荐表内的某个偏移量。”

该漏洞影响所有未打补丁的 Windows Server 版本，从 Windows Server 2019 到 2022。利用该漏洞可能会使对手完全控制域资源或使关键基础设施崩溃。

为了降低风险，企业应该：

立即应用微软的补丁。经 SafeBreach 验证，该补丁可有效防止漏洞利用。
监控可疑活动，如异常的 CLDAP 引用响应、DsrGetDcNameEx2 调用或 DNS SRV 查询。

SafeBreach 还发布了针对 CVE-2024-49112 测试易受攻击 Windows Server 的 PoC 工具，该工具可在其 GitHub 存储库中获取。

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/303196

安全KER - 有思想的安全新媒体

[来源: 安全客]

[4]针对 Windows 零点击漏洞 CVE202449112 发布 PoC 漏洞利用程序 繁體

[4]针对 Windows 零点击漏洞 CVE202449112 发布 PoC 漏洞利用程序 ^繁體