Se ha publicado un exploit de prueba de concepto (PoC) para una falla de seguridad ahora corregida que afecta al protocolo LDAP de Windows y que podría desencadenar una condición de denegación de servicio (DoS) y posible RCE.
La vulnerabilidad de lectura fuera de límites, identificada como CVE-2024-49113 (CVSS: 7,5), fue abordada por Microsoft en las actualizaciones de diciembre de 2024, junto con CVE-2024-49112 (CVSS: 9,8), otra falla crítica de desbordamiento de enteros en el mismo componente y que podría provocar la ejecución remota de código.
El investigador de seguridad independiente Yuki Chen (@guhe120) es el responsable de descubrir y reportar ambas vulnerabilidades.
El PoC CVE-2024-49113 ideado por SafeBreach Labs, cuyo nombre en código es LDAPNightmare, está diseñado para bloquear cualquier servidor Windows Server sin parches "sin requisitos previos excepto que el servidor DNS del controlador de dominio víctima tenga conectividad a Internet".
En concreto, implica enviar una solicitud DCE/RPC al servidor víctima, lo que en última instancia provoca que el servicio del subsistema de autoridad de seguridad local (LSASS) se bloquee y fuerce un reinicio cuando se envía un paquete de respuesta de referencia CLDAP especialmente diseñado con un valor distinto de cero para "lm_referral".
Peor aún, la empresa de ciberseguridad con sede en California descubrió que la misma cadena de exploits también podría aprovecharse para lograr la ejecución remota de código (CVE-2024-49112) modificando el paquete CLDAP.
El aviso de Microsoft para CVE-2024-49113 es escueto en detalles técnicos, pero ha revelado que CVE-2024-49112 podría ser explotado enviando solicitudes RPC desde redes no confiables para ejecutar código arbitrario dentro del contexto del servicio LDAP.
"En el contexto de explotar un controlador de dominio para un servidor LDAP, para tener éxito, un atacante debe enviar llamadas RPC especialmente diseñadas al objetivo para activar una búsqueda del dominio del atacante para que se realice con éxito", dijo Microsoft. "En el contexto de explotar una aplicación cliente LDAP, para tener éxito, un atacante debe convencer o engañar a la víctima para que realice una búsqueda de controlador de dominio para el dominio del atacante o para que se conecte a un servidor LDAP malicioso. Sin embargo, las llamadas RPC no autenticadas no tendrían éxito".
Además, un atacante podría usar una conexión RPC a un controlador de dominio para activar operaciones de búsqueda de controlador de dominio contra el dominio del atacante, señaló la compañía.
Para mitigar el riesgo que plantean estas vulnerabilidades, es fundamental que las organizaciones apliquen los parches de diciembre de 2024 publicados por Microsoft. En situaciones en las que no es posible aplicar parches de inmediato, se recomienda "implementar detecciones para monitorear respuestas de referencia CLDAP sospechosas (con el valor malicioso específico establecido), llamadas DsrGetDcNameEx2 sospechosas y consultas SRV de DNS sospechosas.
Fuente: THN