Windows’ta Uzaktan Suistimal Edilebilen LDAP Kusurları

Microsoft, 10 Aralık’ta düzenli olarak planlanan son Salı Yaması yayın döngüsünün bir parçası olarak yayınladığı güncellemeler biçimindeki güvenlik açıklarına yönelik yamalar yayımladı.

Araştırmacılar, yararlanılabilir kusurların Windows Server’ın ve istemcilerin yama yapılmamış tüm sürümlerinde mevcut olduğunu söyledi. Pek çok kuruluşun yamaları yüklemeyi tatil dönemi sonrasına erteleyebileceği göz önüne alındığında, uzmanlar onları güncellemeleri hızlı bir şekilde test edip yayınlamaya çağırdı.

Siber güvenlik firması Trend Micro Cumartesi günkü bir blog yazısında, “Kuruluşların, sistemlerini tehlikeye atmak için bu güvenlik açıklarından yararlanabilecek saldırganlara karşı korunmak için bu yamaları derhal uygulamaları zorunludur” dedi.

LDAP kusurları arasında, Microsoft’un kritik CVSS puanı olarak 9,8 olarak atadığı, hem LDAP istemcilerini hem de sunucularını etkileyen bir uzaktan kod yürütme kusuru olan CVE-2024-49112 yer alıyor. Microsoft, “Bu güvenlik açığından başarıyla yararlanan, kimliği doğrulanmamış uzak bir saldırgan, LDAP hizmeti bağlamında isteğe bağlı kod yürütme yeteneği kazanacaktır” dedi. “Ancak başarılı kullanım, hangi bileşenin hedeflendiğine bağlıdır.”

Teknoloji devi, istismar girişimlerinin Active Directory’ye gelen uzaktan prosedür çağrıları olarak gelebileceği ve bir saldırganın, bir istismar zincirinin parçası olarak, “bir saldırganın, saldırganın etki alanına karşı etki alanı denetleyicisi arama işlemlerini tetiklemek için bir etki alanı denetleyicisine bir RPC bağlantısı kullanabileceği” konusunda uyardı.

Microsoft’un geçen ay yamaladığı diğer LDAP hatası CVE-2024-49113’tür; bu güvenlik açığı, kusurdan yararlanmanın “daha az muhtemel” göründüğü sömürülebilirlik değerlendirmesine dayanarak 7,5 CVSS puanı atadığı bir hizmet reddi güvenlik açığıdır.

Her iki kusuru da keşfedip Microsoft’a bildiren güvenlik araştırmacısı Yuki Chen, puanlara rağmen daha düşük sıradaki güvenlik açığının daha tehlikeli olabileceği konusunda uyardı.

Chen Cuma günü sosyal platform X’te yaptığı bir paylaşımda, “Skorun arkadaki analiz ekibinin becerilerinden oldukça etkilendiğini asla unutmayın.” dedi. “Aralık ayında LDAP ile ilgili birden fazla güvenlik açığı düzeltildi ve ironik bir şekilde CVE-2024-49112 – en yüksek CVSS puanına sahip – aslında diğerlerinden daha az sömürülüyor.”

Yayınlandı: Konsept Kanıtı LDAP Kabusu

Chen’in yorumları, ihlal ve saldırı simülasyon platformu SafeBreach’in çarşamba günü CVE-2024-49113 için “LDAP Nightmare” lakaplı bir kavram kanıtlama istismarı yayınlamasının ardından geldi ve kuruluşlara güvenlik açığını etkin bir şekilde yamalayıp yamamadıklarını test etmek için kullanmalarını önerdi.

SafeBreach Labs’tan araştırmacılar, saldırılarının Netlogon Uzaktan Protokolü veya NRPC ve savunmasız bir LDAP istemcisi ile etkileşime girerek, kurban DC’nin DNS sunucusunun sahip olması dışında herhangi bir önkoşul olmaksızın “yalnızca etki alanı denetleyicilerini değil, yama uygulanmamış herhangi bir Windows Sunucusunu” çökerttiğini söyledi. internet bağlantısı.”

Trend Micro tarafından açıklandığı üzere LDAP Nightmare, savunmasız bir sunucuya DCE/RPC protokolü isteği göndererek başlıyor. “Saldırı akışı, kurban sunucusuna bir DCE/RPC isteği gönderilerek başlar ve bir saldırgan özel hazırlanmış Bağlantısız Basit Dizin Erişim Protokolü (CLDAP) yönlendirme yanıtı gönderdiğinde Yerel Güvenlik Yetkilisi Alt Sistem Hizmetinin (LSASS) çökmesine ve yeniden başlatmaya zorlanmasına neden olur. paket” dedi.

SafeBreach Labs araştırmacıları, bir saldırganın saldırı akışının son adımında CLDAP paketini değiştirmesi durumunda, CVE-2024-49112’den uzaktan yararlanmak ve kod yürütmek için neredeyse aynı saldırı akışının muhtemelen kullanılabileceğini söyledi. Araştırmacılar henüz “tam bir RCE zincirine” ulaşamadıklarını ancak “buna doğru bazı ilerlemeler kaydettiklerini” söyledi. Elbette diğer araştırmacılar da (suçlular veya ulus devlet saldırganlarından bahsetmiyorum bile) aynı şeyi başarabilir.

Yama Sorunları

Microsoft’un LDAP sorunlarına yönelik Aralık 2024 düzeltmelerinin bazı kuruluşlarda sorunlara yol açtığı bildiriliyor.

Birden çok sistem yöneticisi, yamayı yükledikten sonra Microsoft Entra Connect’i içeren bazı self servis parola sıfırlama türlerinde sorun yaşadığını bildiriyor. Entra Connect, şirket içi Active Directory ve Microsoft Entra ID’yi entegre eden bir Microsoft uygulamasıdır; şirket içi ve bulut tabanlı ortamlar arasında köprü kuran “karma kimlik” hizmetleri sağlamak üzere tasarlanmıştır; buna Entra’nın şifre değişikliklerini senkronize eden şifre geri yazma özelliği de dahildir. Bir kuruluşun şirket içi Active Directory’sine sahip Microsoft Entra.

“Bu yamayı uyguladıktan sonra SSPR / Parola Geri Yazma / Entra Connect ile ilgili sorun yaşayan var mı?” Sysadmin alt dizinindeki Perşembe yazısını okuyun. “Birincil olarak yerel bir şirket içi AD çalıştırıyoruz ve Entra Connect’i kullanarak Entra ile senkronizasyon yapıyoruz. Artık SSPR’yi (Self Servis Parola Sıfırlama) kullanamıyoruz. Sorunlar, hizmet hesabı kullanıcının parolasını yerel olarak değiştirmeye çalıştığında ortaya çıkıyor gibi görünüyor AD’de.”

Birden fazla sistem yöneticisi olumlu yanıt verdi. Bir kullanıcı “Burada aynı gemideyiz” diye yanıtladı.

Sorun bildiren başka bir kullanıcı, Aralık 2024 toplu güncellemesini kaldırmanın “LDAP değişikliklerini geri almadığını” ve Entra Connect 2022 Standard’a sahip Windows Server 2019 Standard sürümü için SSPR’nin bozuk kaldığını söyledi. “Görünüşe göre Entra Connect ve SSPR, yamanın kaldırdığı veya engellediği bir tür eski komut kullanıyor.”

Sistem yöneticisi, Microsoft’un kendi ekiplerinin yamayı küresel olarak kullanıma sunmadan önce sorunu neden tespit edemediğini sorguladı. Entra Connect’in bazı bileşenleri eski olarak kabul edilse de Microsoft’un Entra Connect ürün ekibi hâlâ bunlara güveniyor gibi görünüyor.