- 14,660
- 22
- 8 Ноя 2022
Всего одного запроса достаточно, чтобы разрушить любую инфраструктуру.
В сети недавно был опубликован PoC - эксплойт для уязвимости в Windows Lightweight Directory Access Protocol ( LDAP ), исправленной в декабре 2024 года. Уязвимость, обозначенная как Для просмотра ссылки Войдиили Зарегистрируйся (CVSS 7.5), может приводить к отказу в обслуживании (DoS). Её устранение стало Для просмотра ссылки Войди или Зарегистрируйся наряду с Для просмотра ссылки Войди или Зарегистрируйся (CVSS 9.8) — критической уязвимостью целочисленного переполнения, позволяющей выполнять удалённый код.
Обе уязвимости Для просмотра ссылки Войдиили Зарегистрируйся независимым исследователем Юки Ченом (@guhe120). PoC-эксплойт, названный исследователями SafeBreach Labs «LDAPNightmare», может обрушить сервер Windows без дополнительных условий, если DNS-сервер контроллера домена (DC) имеет доступ к интернету.
Для реализации атаки используется DCE/RPC-запрос, отправляемый на сервер-жертву. Это вызывает сбой службы Local Security Authority Subsystem Service ( LSASS ) и перезагрузку системы. Эксплуатация осуществляется с помощью специально созданного CLDAP-пакета, где значение «lm_referral» отличается от нуля.
Ещё более тревожным является то, что цепочка эксплойтов может быть изменена для выполнения удалённого кода, если скорректировать параметры CLDAP-пакета.
В своём уведомлении Microsoft Для просмотра ссылки Войдиили Зарегистрируйся что CVE-2024-49112 может быть использована через RPC-запросы из ненадёжных сетей для выполнения произвольного кода в контексте LDAP-службы. Успешная эксплуатация требует отправки специального RPC-запроса, инициирующего обращение контроллера домена к домену атакующего.
Для защиты от возможных атак Microsoft рекомендует установить декабрьские обновления безопасности. Если немедленное обновление невозможно, следует внедрить мониторинг подозрительных CLDAP-ответов, DsrGetDcNameEx2-запросов и DNS SRV-запросов.
В сети недавно был опубликован PoC - эксплойт для уязвимости в Windows Lightweight Directory Access Protocol ( LDAP ), исправленной в декабре 2024 года. Уязвимость, обозначенная как Для просмотра ссылки Войди
Обе уязвимости Для просмотра ссылки Войди
Для реализации атаки используется DCE/RPC-запрос, отправляемый на сервер-жертву. Это вызывает сбой службы Local Security Authority Subsystem Service ( LSASS ) и перезагрузку системы. Эксплуатация осуществляется с помощью специально созданного CLDAP-пакета, где значение «lm_referral» отличается от нуля.
Ещё более тревожным является то, что цепочка эксплойтов может быть изменена для выполнения удалённого кода, если скорректировать параметры CLDAP-пакета.
В своём уведомлении Microsoft Для просмотра ссылки Войди
Для защиты от возможных атак Microsoft рекомендует установить декабрьские обновления безопасности. Если немедленное обновление невозможно, следует внедрить мониторинг подозрительных CLDAP-ответов, DsrGetDcNameEx2-запросов и DNS SRV-запросов.
- Источник новости
- www.securitylab.ru
