Güvenlik araştırmacıları, LDAPNightmare olarak adlandırılan, CVE-2024-49113’e yönelik sahte bir kavram kanıtlama (PoC) istismarı tarafından, bilgi çalan kötü amaçlı yazılımları indirip çalıştırma konusunda kandırılıyor.
Microsoft’un Aralık 2024’teki aylık Salı Yaması sürümü sırasında, Windows Basit Dizin Erişim Protokolü’nde (LDAP) CVE-2024-49112 ve CVE-2024-49113 olarak tanımlanan iki önemli güvenlik açığı yamandı.
9,8 CVSS puanına sahip CVE-2024-49112, saldırganların özel hazırlanmış LDAP sorguları göndererek yararlanabilecekleri ve hedef makinede rastgele kod çalıştırmalarına olanak tanıyan bir uzaktan kod yürütme (RCE) güvenlik açığıdır.
7,5 CVSS puanıyla CVE-2024-49113 olarak takip edilen bir hizmet reddi (DoS) güvenlik açığı, LDAP hizmetini çökertmek ve hizmette kesintilere neden olmak için kullanılabilir.
LDAP Windows ortamlarında yaygın olarak kullanıldığından her iki kusurun da son derece önemli olduğu değerlendirildi.
Safebreach yakın zamanda Windows Basit Dizin Erişim Protokolü’ndeki (LDAP) CVE-2024-49112 olarak izlenen kritik bir güvenlik açığına yönelik bir kavram kanıtlama (PoC) istismarını açıkladı.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
TrendMicro, “PoC yemlerini kötü amaçlı yazılım dağıtım aracı olarak kullanma taktiği yeni olmasa da, bu saldırı, özellikle de daha fazla sayıda kurbanı etkileyebilecek trend bir sorundan faydalandığı için hala önemli endişeler yaratıyor” dedi. Siber Güvenlik Haberleri.
LDAPNightmare İçin Sahte PoC İstismarı (CVE-2024-49113)
PoC, orijinal yaratıcının kötü amaçlı deposunun bir çatalı gibi görünüyor. Orijinal Python dosyaları, UPX ile doldurulmuş yürütülebilir poc.exe ile değiştirildi.
Yürütülebilir dosyanın Python tabanlı bir projedeki alışılmadık varlığı, depo başlangıçta normal görünse de şüphe uyandırıyor.
Kullanıcı dosyayı çalıştırdığında bir PowerShell betiği bırakılır ve %Temp% klasöründe çalıştırılır. Sonuç olarak bir Zamanlanmış İş oluşturulacak ve ardından kodlanmış bir komut dosyasını çalıştıracaktır.
Kodu çözüldükten sonra komut dosyası, kurbanın bilgisayarının genel IP adresini toplayan ve bunu FTP yoluyla yükleyen Pastebin’den başka bir komut dosyası alır.
Araştırmacılara göre, aşağıdaki veriler ZIP kullanılarak toplanıyor, sıkıştırılıyor ve ardından sabit kodlanmış kimlik bilgileri kullanılarak harici bir FTP sunucusuna yükleniyor.
- Bilgisayar bilgileri
- Süreç listesi
- Dizin listeleri (İndirilenler, En Son Kullanılanlar, Belgeler ve Masaüstü)
- Ağ IP’leri
- Ağ bağdaştırıcıları
- Yüklü güncellemeler
Bu nedenle bağımlılıkları, kitaplıkları ve kodları yalnızca saygın ve resmi kaynaklardan indirin. resmi kaynaklar. Şüpheli içerikleriyle uyumlu olmayan bir araç veya uygulamayı barındırıyor gibi görünen veri havuzlarına dikkat edin.
Kuruluşun veya depo sahibinin kimliğini doğrulayın ve taahhüt geçmişindeki ve depodaki en son değişikliklerdeki anormallikleri veya kötü amaçlı etkinlik belirtilerini arayın.
Ek olarak, yaygın olarak kullanıldığını iddia eden ancak çok az yıldıza, çatala veya katkıda bulunana sahip olan depolardan kaçınılmalıdır. Herhangi bir uyarı işaretini tespit etmek için depoyla ilgili incelemelere, sorunlara veya konuşmalara bakın.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!