Ssylka

Могут ли невидимые запросы в сети обрушить вашу Windows?

В декабре 2024 года мир столкнулся с двумя серьезными уязвимостями в протоколе Lightweight Directory Access Protocol (LDAP) Windows, которые подняли вопросы о безопасности целых корпоративных сетей. Первая, получившая обозначение CVE-2024-49112, представляет собой критическую брешь с оценкой 9.8 по шкале CVSS, позволяющую злоумышленникам удаленно выполнять произвольный код в контексте службы LDAP. Это означает, что неавторизованный атакующий может получить полный контроль над системой, просто отправив специальным образом сформированные запросы. Причем, если для Domain Controller требуется отправка RPC вызовов, то для LDAP клиента достаточно обмануть пользователя заставив его сделать запрос на фиктивный домен или подключиться к скомпрометированному LDAP серверу.
Могут ли невидимые запросы в сети обрушить вашу Windows?
Изображение носит иллюстративный характер

Вторая уязвимость, CVE-2024-49113, менее критична, но не менее опасна. С оценкой 7.5, эта брешь типа «отказ в обслуживании» способна обрушить Windows Server, используя специальный запрос CLDAP. Эксплуатация CVE-2024-49113 требует подключения DNS-сервера контроллера домена к интернету, что впрочем не редкость. Атакующий отправляет DCE/RPC запрос на сервер-жертву, вызывая сбой службы LSASS и принудительную перезагрузку компьютера, когда сервер получает специально сформированный ответ CLDAP.

Обе эти уязвимости были обнаружены независимым исследователем безопасности Юки Ченом. Однако именно специалисты SafeBreach Labs, назвав свой эксплойт «LDAPNightmare», сделали публичным доказательство концепции для CVE-2024-49113. Этот шаг привлек внимание к серьезности проблемы и ускорил реакцию Microsoft.

Microsoft выпустила патчи для обеих уязвимостей в рамках декабрьского обновления "Patch Tuesday", которое распространялось во многих странах мира. Но, как показывает практика, далеко не все организации оперативно устанавливают обновления, оставляя свои системы уязвимыми к атакам.

Важно отметить, что CVE-2024-49112 представляет серьезную угрозу не только для серверов домена, но и для клиентских приложений, использующих LDAP. Таким образом, широкий спектр систем оказался под ударом. В случае CVE-2024-49113, эксперты выяснили, что, модифицировав CLDAP пакеты, можно добиться удаленного выполнения кода, используя CVE-2024-49112.

Для противодействия этим угрозам, крайне важно установить патчи Microsoft из декабрьского обновления 2024 года. Также, следует придерживаться общих рекомендаций по безопасности: регулярное управление патчами, сегментация сети, периодические аудиты безопасности и наличие плана реагирования на инциденты.

Компания Trend, в свою очередь, предоставила отчет "Emerging Threats" и базу знаний для своих клиентов, информируя о выявленных рисках и способах защиты от них. Повышение осведомленности о подобных уязвимостях и их своевременное устранение – залог безопасности любой организации.

Протоколы RPC, CLDAP и DCE/RPC играют ключевую роль в функционировании LDAP, но они также становятся потенциальными точками входа для злоумышленников. Понимание механизмов их работы и способов защиты от атак – критически важно для поддержания надежности и безопасности всей системы.

Критически важно отметить, что в контексте CVE-2024-49113 можно не только вызвать отказ в обслуживании, но и, модифицировав CLDAP пакеты, добиться удаленного выполнения кода, тем самым превращая атаку DoS в RCE, используя CVE-2024-49112. Это показывает, насколько связаны уязвимости и какие возможности открываются для киберпреступников.

Уязвимости в LDAP, такие как CVE-2024-49112 и CVE-2024-49113, являются не просто техническими проблемами, а реальными угрозами для безопасности критической инфраструктуры и данных. Быстрая реакция на подобные инциденты, оперативное применение патчей, понимание основных механизмов и регулярные аудиты – вот ключевые составляющие системы кибербезопасности.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?