Se ha desarrollado un exploit de prueba de concepto (PoC). liberado para una falla de seguridad ahora parcheada que afecta el Protocolo ligero de acceso a directorios (LDAP) de Windows y que podría desencadenar una condición de denegación de servicio (DoS).
La vulnerabilidad de lecturas fuera de límites se rastrea como CVE-2024-49113 (Puntuación CVSS: 7,5). Microsoft lo abordó como parte de las actualizaciones del martes de parches para diciembre de 2024, junto con CVE-2024-49112 (puntuación CVSS: 9,8), una falla crítica de desbordamiento de enteros en el mismo componente que podría resultar en la ejecución remota de código.
Se le atribuye el descubrimiento y el informe de ambas vulnerabilidades al investigador de seguridad independiente Yuki Chen (@guhe120).
La prueba de concepto CVE-2024-49113 ideado por SafeBreach Labs, con nombre en código LDAPpesadillaestá diseñado para bloquear cualquier servidor Windows sin parches “sin requisitos previos excepto que el servidor DNS del DC víctima tenga conectividad a Internet”.
Específicamente, implica enviar una solicitud DCE/RPC al servidor víctima, lo que en última instancia provoca que el Servicio del subsistema de la autoridad de seguridad local (LSASS) falle y fuerce un reinicio cuando se recibe un paquete de respuesta de referencia CLDAP especialmente diseñado.
Peor aún, la empresa de ciberseguridad con sede en California descubrió que la misma cadena de exploits también podría aprovecharse para lograr la ejecución remota de código (CVE-2024-49112) modificando el paquete CLDAP.
El aviso de Microsoft para CVE-2024-49113 se basa en detalles técnicos, pero el fabricante de Windows ha revelado que CVE-2024-49112 podría explotarse enviando solicitudes RPC desde redes no confiables para ejecutar código arbitrario dentro del contexto del servicio LDAP.
“En el contexto de explotar un controlador de dominio para un servidor LDAP, para tener éxito, un atacante debe enviar llamadas RPC especialmente diseñadas al objetivo para activar una búsqueda del dominio del atacante que se realizará para tener éxito”, Microsoft dicho.
“En el contexto de explotar una aplicación cliente LDAP, para tener éxito, un atacante debe convencer o engañar a la víctima para que realice una búsqueda de controlador de dominio para el dominio del atacante o para que se conecte a un servidor LDAP malicioso. Sin embargo, las llamadas RPC no autenticadas no tendrían éxito. ”
Además, un atacante podría usar una conexión RPC a un controlador de dominio para activar operaciones de búsqueda de controlador de dominio en el dominio del atacante, señaló la compañía.
Para mitigar el riesgo que plantean estas vulnerabilidades, es esencial que las organizaciones apliquen los parches de diciembre de 2024 publicados por Microsoft. En situaciones en las que no es posible aplicar parches de inmediato, se recomienda “implementar detecciones para monitorear respuestas de referencia CLDAP sospechosas (con el valor malicioso específico establecido), llamadas DsrGetDcNameEx2 sospechosas y consultas DNS SRV sospechosas”.
About the Author
