近日，網(wǎng)上發(fā)布了一個(gè)針對Windows輕量級目錄訪問協(xié)議（LDAP）安全漏洞的概念驗(yàn)證（PoC）漏洞利用程序，可能會(huì)引發(fā)拒絕服務(wù)（DoS）狀況。目前該漏洞現(xiàn)已修復(fù)，建議企業(yè)/組織立即修復(fù)，以免被攻擊者利用。

該漏洞為越界讀取漏洞，編號CVE - 2024 - 49113，CVSS評分：7.5。微軟于2024年12月的補(bǔ)丁日更新中進(jìn)行修復(fù)，與此同時(shí)同時(shí)還修復(fù)了CVE - 2024 - 49112漏洞（CVSS評分：9.8），這是在同一組件中的嚴(yán)重整數(shù)溢出漏洞，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

由SafeBreach Labs設(shè)計(jì)的CVE - 2024 - 49113 PoC，名為LDAPNightmare，其目的是讓任何未打補(bǔ)丁的Windows Server崩潰，并且“除了受害者域控制器的DNS服務(wù)器有互聯(lián)網(wǎng)連接外，沒有其他前提條件”。

具體而言，它通過向受害者服務(wù)器發(fā)送DCE/RPC請求，最終致使本地安全機(jī)構(gòu)子系統(tǒng)服務(wù)（LSASS）崩潰，并且在發(fā)送帶有“l(fā)m_referral”非零值的特制CLDAP轉(zhuǎn)介響應(yīng)數(shù)據(jù)包時(shí)強(qiáng)制重啟。微軟關(guān)于CVE - 2024 - 49113的公告在技術(shù)細(xì)節(jié)方面比較簡略，不過微軟透露，CVE - 2024 - 49112可通過從未受信任的網(wǎng)絡(luò)發(fā)送RPC請求來利用，從而在LDAP服務(wù)的環(huán)境下執(zhí)行任意代碼。

微軟表示：“在將域控制器作為LDAP服務(wù)器使用的情境下，攻擊者必須向目標(biāo)發(fā)送特制的RPC調(diào)用，觸發(fā)對攻擊者域名的查找才能成功。在利用LDAP客戶端應(yīng)用程序的情況下，攻擊者必須勸說或者誘騙受害者執(zhí)行對攻擊者域名的域控制器查找，或者連接到惡意的LDAP服務(wù)器。不過，未經(jīng)身份驗(yàn)證的RPC調(diào)用不會(huì)成功。”

網(wǎng)絡(luò)攻擊的具體流程

(1) 針對未打補(bǔ)丁的Windows Server

攻擊者利用LDAPNightmare漏洞的PoC（概念驗(yàn)證），針對未打補(bǔ)丁的Windows Server發(fā)起攻擊。

首先會(huì)向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的DCE/RPC請求。DCE/RPC是一種遠(yuǎn)程過程調(diào)用協(xié)議，在Windows系統(tǒng)中廣泛用于不同進(jìn)程間或者不同機(jī)器間的通信。當(dāng)服務(wù)器接收到這個(gè)惡意構(gòu)造的請求后，在處理過程中會(huì)因?yàn)樯鲜雎┒吹拇嬖诙霈F(xiàn)異常情況。

(2) 導(dǎo)致LSASS崩潰與重啟

具體來說，這種異常情況會(huì)導(dǎo)致本地安全機(jī)構(gòu)子系統(tǒng)服務(wù)（LSASS）崩潰。LSASS在Windows系統(tǒng)中負(fù)責(zé)管理用戶認(rèn)證、安全策略等重要功能。

在發(fā)送帶有“l(fā)m_referral”非零值的特制CLDAP轉(zhuǎn)介響應(yīng)數(shù)據(jù)包時(shí)，會(huì)強(qiáng)制服務(wù)器重啟。這是因?yàn)檫@個(gè)特制的數(shù)據(jù)包利用了漏洞，使得服務(wù)器在處理該數(shù)據(jù)包時(shí)無法按照正常的邏輯進(jìn)行操作，進(jìn)而導(dǎo)致系統(tǒng)崩潰并重啟。

遠(yuǎn)程代碼執(zhí)行的擴(kuò)展利用

(1) 漏洞鏈的利用

通過修改CLDAP數(shù)據(jù)包，攻擊者可以利用相同的漏洞利用鏈來實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行（CVE - 2024 - 49112）。攻擊者可以構(gòu)造特定的CLDAP數(shù)據(jù)包內(nèi)容，使得在處理這些數(shù)據(jù)包的過程中，能夠觸發(fā)一系列的操作，最終達(dá)到執(zhí)行任意代碼的目的。

(2) 不同利用場景下的條件

在將域控制器作為LDAP服務(wù)器使用時(shí)，攻擊者需要向目標(biāo)發(fā)送特制的RPC調(diào)用，觸發(fā)對攻擊者域名的查找才能成功執(zhí)行代碼。

在針對LDAP客戶端應(yīng)用程序時(shí)，攻擊者要說服或誘騙受害者執(zhí)行對攻擊者域名的域控制器查找，或者連接到惡意的LDAP服務(wù)器。不過要注意，未經(jīng)身份驗(yàn)證的RPC調(diào)用不會(huì)成功。同時(shí)，攻擊者還可以利用與域控制器的RPC連接來觸發(fā)對攻擊者域名的域控制器查找操作，從而為自己的惡意目的創(chuàng)造條件。

微軟指出，攻擊者能夠利用與域控制器的RPC連接來觸發(fā)對攻擊者域名的域控制器查找操作。建議“實(shí)施檢測措施以監(jiān)控可疑的CLDAP轉(zhuǎn)介響應(yīng)（設(shè)置了特定的惡意值）、可疑的DsrGetDcNameEx2調(diào)用以及可疑的DNS SRV查詢。”

參考來源：https://thehackernews.com/2025/01/ldapnightmare-poc-exploit-crashes-lsass.html