Windows Basit Dizin Erişim Protokolünü (LDAP) etkileyen ve hizmet reddi (DoS) durumunu tetikleyebilecek, artık yamalanmış bir güvenlik kusuru için bir kavram kanıtlama (PoC) istismarı yayımlandı.
Sınır dışı okuma güvenlik açığı CVE-2024-49113 (CVSS puanı: 7,5) olarak izleniyor. Microsoft tarafından, aynı bileşende uzaktan kod yürütülmesine neden olabilecek kritik bir tamsayı taşması kusuru olan CVE-2024-49112 (CVSS puanı: 9,8) ile birlikte Aralık 2024’teki Salı Yaması güncellemelerinin bir parçası olarak ele alındı.
Her iki güvenlik açığını da keşfeden ve bildiren kişi bağımsız güvenlik araştırmacısı Yuki Chen (@guhe120)’dir.
SafeBreach Labs tarafından geliştirilen CVE-2024-49113 PoC kod adı LDAPKabus“kurban DC’nin DNS sunucusunun İnternet bağlantısına sahip olması dışında hiçbir önkoşul olmaksızın” yama yapılmamış herhangi bir Windows Sunucusunu çökertmek üzere tasarlanmıştır.
Spesifik olarak, kurban sunucuya bir DCE/RPC isteği gönderilmesini gerektirir ve sonuçta Yerel Güvenlik Yetkilisi Alt Sistem Hizmetinin (LSASS) özel hazırlanmış bir CLDAP yönlendirme yanıt paketi geldiğinde çökmesine ve yeniden başlatmaya zorlanmasına neden olur.
Daha da kötüsü, Kaliforniya merkezli siber güvenlik şirketi, CLDAP paketini değiştirerek uzaktan kod yürütmeyi (CVE-2024-49112) gerçekleştirmek için aynı yararlanma zincirinden de yararlanılabileceğini buldu.
Microsoft’un CVE-2024-49113 tavsiyesi teknik ayrıntılara dayanıyor ancak Windows üreticisi, CVE-2024-49112’nin, LDAP hizmeti bağlamında rastgele kod yürütmek üzere güvenilmeyen ağlardan RPC istekleri göndererek kötüye kullanılabileceğini ortaya çıkardı.
Microsoft, “Bir LDAP sunucusu için etki alanı denetleyicisinden yararlanma bağlamında, başarılı olmak için bir saldırganın, saldırganın etki alanında gerçekleştirilecek bir aramayı tetiklemek üzere hedefe özel hazırlanmış RPC çağrıları göndermesi gerekir” dedi.
“Bir LDAP istemci uygulamasından yararlanma bağlamında, başarılı olmak için bir saldırganın kurbanı, saldırganın etki alanı için etki alanı denetleyicisi araması yapmaya veya kötü amaçlı bir LDAP sunucusuna bağlanmaya ikna etmesi veya kandırması gerekir. Ancak, kimliği doğrulanmamış RPC çağrıları başarılı olmaz. ”
Ayrıca şirket, bir saldırganın, etki alanı denetleyicisine yönelik bir RPC bağlantısını kullanarak, saldırganın etki alanına yönelik etki alanı denetleyicisi arama işlemlerini tetikleyebileceğini belirtti.
Bu güvenlik açıklarının oluşturduğu riski azaltmak için kuruluşların Microsoft tarafından yayımlanan Aralık 2024 yamalarını uygulaması önemlidir. Anında yama uygulamasının mümkün olmadığı durumlarda, “şüpheli CLDAP yönlendirme yanıtlarını (belirli kötü amaçlı değer kümesiyle), şüpheli DsrGetDcNameEx2 çağrılarını ve şüpheli DNS SRV sorgularını izlemek için algılamaların uygulanması” önerilir.