کابوس LDAP: اکسپلویت جدید ، سرورهای ویندوز را از کار می‌ اندازد!

هکرها با اکسپلویت جدیدی به نام LDAPNightmare می‌ توانند سرورهای ویندوز را از کار بیندازند! این آسیب‌ پذیری که در پروتکل LDAP ویندوز وجود دارد، به مهاجمان اجازه می‌ دهد تا با ارسال درخواست‌ های مخرب، سرورها را مجبور به راه‌ اندازی مجدد کنند. حتی امکان اجرای کد از راه دور نیز وجود دارد! مایکروسافت وصله‌ های امنیتی لازم را منتشر کرده است، پس سریعاً سیستم‌ های خود را بروزرسانی کنید تا از این کابوس در امان بمانید!

به گزارش زوم تک از وبسایت خبری The Hacker News، یک اکسپلویت اثبات مفهوم جدید برای آسیب‌پذیری امنیتی وصله‌شده در پروتکل LDAP ویندوز منتشر شده است که می‌تواند منجر به اختلال در سرویس (DoS) شود.

این آسیب‌پذیری که با شناسه CVE-2024-49113 (امتیاز CVSS: 7.5) ردیابی می‌شود، به عنوان بخشی از به‌روزرسانی‌های Patch Tuesday دسامبر 2024 توسط مایکروسافت برطرف شد. این آسیب‌پذیری در کنار آسیب‌پذیری سرریز عدد صحیح بحرانی دیگری با شناسه CVE-2024-49112 (امتیاز CVSS: 9.8) در همان جزء که می‌تواند منجر به اجرای کد از راه دور شود، قرار داشت.

یوکی چن (@guhe120)، محقق امنیتی مستقل، کشف و گزارش هر دو آسیب‌پذیری را بر عهده داشته است.

اکسپلویت اثبات مفهوم CVE-2024-49113 که توسط SafeBreach Labs با نام رمز LDAPNightmare طراحی شده است، می‌تواند هر سرور ویندوز وصله‌نشده را از کار بیندازد. تنها پیش‌نیاز این اکسپلویت این است که سرور DNS کنترل‌کننده دامنه قربانی به اینترنت متصل باشد.

این اکسپلویت با ارسال یک درخواست DCE/RPC به سرور قربانی و در نهایت ارسال یک بسته پاسخ ارجاع CLDAP که به طور خاص ساخته شده است، باعث خرابی سرویس LSASS (سرویس زیرسیستم مرجع امنیت محلی) و در نتیجه راه‌اندازی مجدد اجباری سرور می‌شود.

این شرکت امنیت سایبری مستقر در کالیفرنیا همچنین متوجه شد که با تغییر بسته CLDAP، می‌توان از همین زنجیره اکسپلویت برای دستیابی به اجرای کد از راه دور (CVE-2024-49112) نیز استفاده کرد.

مایکروسافت در اطلاعیه خود در مورد CVE-2024-49113 جزئیات فنی زیادی ارائه نکرده است، اما اعلام کرده است که CVE-2024-49112 می‌تواند با ارسال درخواست‌های RPC از شبکه‌های غیرقابل اعتماد برای اجرای کد دلخواه در زمینه سرویس LDAP مورد سوء استفاده قرار گیرد.

مایکروسافت در این باره می‌گوید: “در زمینه اکسپلویت یک کنترلر دامنه برای یک سرور LDAP، مهاجم برای موفقیت باید تماس‌های RPC خاصی را به هدف ارسال کند تا جستجوی دامنه مهاجم انجام شود.”

“در زمینه اکسپلویت یک برنامه کلاینت LDAP، مهاجم برای موفقیت باید قربانی را متقاعد یا فریب دهد تا جستجوی کنترلر دامنه را برای دامنه مهاجم انجام دهد یا به یک سرور LDAP مخرب متصل شود. با این حال، تماس‌های RPC غیرمجاز موفق نخواهند شد.”

علاوه بر این، مهاجم می‌تواند از یک اتصال RPC به یک کنترلر دامنه برای راه‌اندازی عملیات جستجوی کنترلر دامنه در برابر دامنه مهاجم استفاده کند.

برای کاهش خطر ناشی از این آسیب‌پذیری‌ها، ضروری است که سازمان‌ها وصله‌های دسامبر 2024 منتشر شده توسط مایکروسافت را اعمال کنند. در شرایطی که وصله فوری امکان‌پذیر نیست، توصیه می‌شود “تشخیص‌هایی برای نظارت بر پاسخ‌های ارجاع CLDAP مشکوک (با مقدار مخرب خاص)، تماس‌های DsrGetDcNameEx2 مشکوک و پرس‌وجوهای DNS SRV مشکوک پیاده‌سازی شود.”