Investigadores han confirmado la existencia de un exploit con PoC para la vulnerabilidad CVE-2024-49112, también conocida como LDAP Nightmare. Esta vulnerabilidad crítica tiene un impacto devastador en servidores Windows no parcheados, incluyendo controladores de dominio de Active Directory.
🛠 Detalles técnicos de la vulnerabilidad
🚨Impacto y riesgos
Vector de ataque: El exploit se basa en consultas maliciosas de LDAP que desencadenan fallos críticos en el servicio LSASS (Local Security Authority Subsystem Service).
Explotación confirmada: Se aprovecha un desbordamiento de enteros en wldap32.dll, permitiendo a los atacantes manipular respuestas CLDAP y colapsar servidores vulnerables.
🔍 Medidas de mitigación y detección
1️⃣ Aplicar parches de seguridad: El parche de diciembre de 2024 de Microsoft corrige esta vulnerabilidad.
2️⃣ Monitorización: Establece reglas para identificar tráfico LDAP/CLDAP sospechoso, respuestas DNS SRV inusuales y actividad maliciosa en DsrGetDcNameEx2.
3️⃣Revisión de eventos:
Eventos relevantes:
🔹DNS SRV queries dirigidas a nombres de dominio no reconocidos.
🔹Respuestas LDAP con valores atípicos.
IDs a monitorizar:
🔹ID 4625 (fallos de inicio de sesión).
🔹ID 4662 (operaciones LDAP no autorizadas).
🚀 Recomendaciones a los equipos de seguridad
La publicación del PoC para la otra CVE-2024-49113 (DoS) reduce el tiempo de preparación de los atacantes. Parchea tus sistemas y configura medidas para mitigar posibles incidentes. La seguridad de tus controladores de dominio es vital para proteger tu red.
https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112/
Recomendaciones:
INCIBE - Instituto Nacional de Ciberseguridad:
NIST:
https://nvd.nist.gov/vuln/detail/CVE-2024-49112
MITRE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-49112
Microsoft - Update guide:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
No hay comentarios.:
Publicar un comentario