資安研究員Yuki Chen向微軟通報兩項涉及的漏洞CVE-2024-49112、CVE-2024-49113,微軟去年12月的例行更新(Patch Tuesady)已提供這些漏洞的修補,其中又以列為重大層級的RCE漏洞CVE-2024-49112較受到關注。被評為高風險的阻斷服務(DoS)漏洞CVE-2024-49113也相當值得留意,有研究人員特別對此提出警告,因為有可能導致尚未修補的Windows伺服器當機。
本月初資安業者SafeBreach公布CVE-2024-49113細節,並揭露概念性驗證(PoC)攻擊手法,他們指出一旦攻擊者利用這項漏洞,就能讓尚未修補的Windows伺服器當機,而且唯一的必要條件,就是受害組織網域伺服器(DC)的DNS伺服器必須連上網際網路,有鑑於這項漏洞帶來的衝擊相當嚴重,研究人員將這項漏洞命名為「LDAPNightmare」。
他們將利用攻擊流程大致分成7個步驟。攻擊者會向目標伺服器發送分散式運算環境(DCE)或遠端程序呼叫(RPC)請求,此時受害主機會對攻擊者的網域(研究人員設置為SafeBreachLabs.pro)發送DNS SRV查詢。
接著,攻擊者的DNS伺服器就會回傳攻擊者的主機名稱及LDAP連接埠。受害主機就會廣播NetBIOS名稱服務(NBNS),尋找攻擊者主機的IP位址,並得到攻擊者的NBNS回應。
完成上述步驟後,受害主機就會成為攻擊者環境的LDAP用戶端,並向攻擊者的主機發送CLDAP(Connectionless LDAP)協定的請求,接下來攻擊者只要發送具備特定數值的CLDAP回應封包,就能讓強制將受害伺服器重開機。
研究人員強調,上述攻擊流程若是稍加修改最後發送的CLDAP資料,攻擊者還能用來遠端執行任意程式碼。有鑑於這項漏洞的嚴重性。
研究人員驗證此漏洞可行性的系統是Windows Server 2022及2019,但他們認為此手法也能攻擊其他版本的Windows Server。基於這些考量,SafeBreach呼籲企業應儘速套用更新程式,若是無法即時部署,最好監控可疑的CLDAP的轉介回應(referral response)是否出現特定的惡意數值,並監控DsrGetDcNameEx2呼叫、DNS SRV(Service)紀錄的查詢是否出現異常。
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-06
2025-01-07
