Les chercheurs de SafeBreach Labs ont dévoilé un exploit de preuve de concept (PoC) pour une vulnérabilité critique dans Windows Lightweight Directory Access Protocol (LDAP), suivie comme CVE-2024-49112.
La faille, divulguée par Microsoft le 10 décembre 2024, lors de sa mise à jour du Patch Tuesday, présente un score de gravité CVSS de 9,8 et présente un risque important pour les réseaux d’entreprise.
CVE-2024-49112 est une vulnérabilité d’exécution de code à distance (RCE) qui affecte les serveurs Windows, y compris les contrôleurs de domaine (DC). Les contrôleurs de domaine sont des composants essentiels des réseaux organisationnels car ils gèrent l’authentification et les privilèges des utilisateurs.
L’exploitation de cette faille pourrait permettre à des attaquants de faire planter des serveurs non corrigés ou d’exécuter du code arbitraire dans le contexte du service LDAP, compromettant potentiellement des domaines entiers.
Exploitation de vulnérabilité
PoC publié pour CVE-2024-49112
SafeBreach Labs a développé un exploit PoC sans clic, baptisé « LDAPNightmare », démontrant la criticité de CVE-2024-49112. L’exploit fait planter les serveurs Windows non corrigés en exploitant le flux d’attaque suivant :
- Un attaquant envoie une requête DCE/RPC au serveur victime.
- La victime interroge le serveur DNS de l’attaquant pour obtenir des informations.
- L’attaquant répond avec un nom d’hôte et un port LDAP.
- La victime envoie une diffusion NBNS pour localiser le nom d’hôte de l’attaquant.
- L’attaquant répond avec son adresse IP.
- La victime devient client LDAP et envoie une requête CLDAP à la machine de l’attaquant.
- L’attaquant envoie une réponse de référence malveillante, provoquant le crash du LSASS (Local Security Authority Subsystem Service) et le redémarrage du serveur.
Flux d’attaque
SafeBreach a vérifié que le correctif de Microsoft atténue efficacement cette vulnérabilité en résolvant le problème de dépassement d’entier.
La vulnérabilité affecte toutes les versions de Windows Server avant l’application des correctifs, y compris Windows Server 2019 et 2022. L’exploitation pourrait permettre aux attaquants de prendre le contrôle des environnements de domaine, ce qui en ferait une cible privilégiée pour les gangs de ransomwares et autres acteurs malveillants.
Les organisations sont invitées à :
- Appliquez immédiatement le correctif Microsoft de décembre 2024.
- Surveillez les requêtes DNS SRV suspectes, les réponses de référence CLDAP et les appels DsrGetDcNameEx2 jusqu’à ce que l’application des correctifs soit terminée.
- Testez leurs environnements à l’aide de l’outil PoC de SafeBreach, disponible sur GitHub.
La publication de ce PoC souligne l’urgence de remédier au CVE-2024-49112. Si les recherches de SafeBreach soulignent l’impact potentiel de la vulnérabilité, elles fournissent également aux organisations des outils pour vérifier leurs défenses.
Microsoft a déjà correctifs publiés pour la vulnérabilité ; Les entreprises doivent donner la priorité aux correctifs et mettre en œuvre une surveillance robuste pour protéger les infrastructures critiques contre toute exploitation.
Enquêtez sur les liens malveillants, les logiciels malveillants et les attaques de phishing du monde réel avec ANY.RUN – Essayez gratuitement
#Exploit #PoC #publié #pour #une #vulnérabilité #critique #Windows #LDAP #RCE