SafeBreach Labs araştırmacıları, Windows Basit Dizin Erişim Protokolü’nde (LDAP) CVE-2024-49112 olarak izlenen kritik bir güvenlik açığına yönelik bir kavram kanıtlama (PoC) istismarını ortaya çıkardı.
Microsoft’un 10 Aralık 2024’te Salı Yaması güncellemesi sırasında açıklanan kusur, 9,8 CVSS ciddiyet puanı taşıyor ve kurumsal ağlar için önemli bir risk oluşturuyor.
CVE-2024-49112, Etki Alanı Denetleyicileri (DC’ler) dahil olmak üzere Windows sunucularını etkileyen bir uzaktan kod yürütme (RCE) güvenlik açığıdır. DC’ler, kimlik doğrulamayı ve kullanıcı ayrıcalıklarını yönettikleri için kurumsal ağlardaki kritik bileşenlerdir.
Bu kusurdan yararlanılması, saldırganların yama uygulanmamış sunucuları çökertmesine veya LDAP hizmeti bağlamında rastgele kod çalıştırmasına olanak tanıyarak tüm etki alanlarının tehlikeye girmesine neden olabilir.
Güvenlik açığı, LDAP ile ilgili koddaki tamsayı taşmasından kaynaklanıyor. Kimliği doğrulanmamış bir saldırgan, kötü amaçlı LDAP sorgularını tetiklemek için özel hazırlanmış RPC çağrıları göndererek bu durumdan yararlanabilir. Başarılı olması halinde bu, sunucunun çökmesine veya RCE’nin daha fazla kötüye kullanılmasına yol açabilir.
PoC Yayınlandı CVE-2024-49112
SafeBreach Labs, CVE-2024-49112’nin kritikliğini gösteren “LDAPNightmare” adlı sıfır tıklamalı PoC istismarını geliştirdi. Bu istismar, aşağıdaki saldırı akışından yararlanarak yamalı Windows sunucularını çökertiyor:
- Saldırgan kurbanın sunucusuna bir DCE/RPC isteği gönderir.
- Kurban bilgi almak için saldırganın DNS sunucusunu sorgular.
- Saldırgan, bir ana bilgisayar adı ve LDAP bağlantı noktasıyla yanıt verir.
- Kurban, saldırganın ana bilgisayar adını bulmak için bir NBNS yayını gönderir.
- Saldırgan IP adresiyle yanıt verir.
- Kurban bir LDAP istemcisi haline gelir ve saldırganın makinesine bir CLDAP isteği gönderir.
- Saldırgan kötü niyetli bir yönlendirme yanıtı göndererek LSASS’nin (Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti) sunucunun çökmesine ve yeniden başlatılmasına neden olur.
SafeBreach, Microsoft’un yamasının tamsayı taşması sorununu gidererek bu güvenlik açığını etkili bir şekilde azalttığını doğruladı.
Güvenlik açığı, Windows Server 2019 ve 2022 de dahil olmak üzere düzeltme eki uygulanmadan önce Windows Server’ın tüm sürümlerini etkiliyor. Açıktan yararlanma, saldırganların etki alanı ortamlarının kontrolünü ele geçirmesine olanak tanıyarak onları fidye yazılımı çeteleri ve diğer tehdit aktörleri için birincil hedef haline getirebilir.
Kuruluşlara şu çağrılar yapılıyor:
- Microsoft’un Aralık 2024 yamasını hemen uygulayın.
- Düzeltme eki uygulama tamamlanana kadar şüpheli DNS SRV sorgularını, CLDAP yönlendirme yanıtlarını ve DsrGetDcNameEx2 çağrılarını izleyin.
- GitHub’da bulunan SafeBreach’in PoC aracını kullanarak ortamlarını test edin.
Bu PoC’nin yayınlanması, CVE-2024-49112 sorununun ele alınmasının aciliyetini vurgulamaktadır. SafeBreach’in araştırması güvenlik açığının potansiyel etkisini vurgularken aynı zamanda kuruluşlara savunmalarını doğrulamak için araçlar da sağlıyor.
Microsoft, bu güvenlik açığına yönelik yamaları zaten yayımladı; Kuruluşlar, kritik altyapıyı istismara karşı korumak için yama uygulamaya öncelik vermeli ve güçlü izleme uygulamalıdır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin