Windows 轻量级目录访问协议(LDAP)是微软在 Windows Server 和 Active Directory 域环境中用于访问和维护目录服务信息的核心组件。它在域控制器 (DC) 上至关重要,安全漏洞可能严重影响域的整体安全态势。
2024 年 12 月,微软官方发布安全补丁,修复了影响所有域控制器及部分服务器的以下两个漏洞:
● CVE-2024-49113:LDAP 信息泄漏漏洞(已有公开 POC,可造成DOS)。
● CVE-2024-49112:LDAP 远程代码执行漏洞(目前尚未有利用情报,无公开 POC)。
研究者在 CVE-2024-49113 的利用链中实现了“0-click”触发,表明攻击者无需用户交互即可使服务器崩溃。由于此漏洞影响域控制服务器这一企业网络核心节点,建议用户尽快修复。
漏洞成因
该漏洞源于 Windows 在实现 LDAP 客户端逻辑时存在的整数溢出问题。攻击者可以通过诱导目标服务器(域控制器或其他 Windows Server)访问恶意构造的 LDAP/CLDAP 服务,触发整数溢出,造成信息泄漏或导致 LSASS 进程崩溃,引发拒绝服务攻击(DoS)。
攻击者使用公开的漏洞POC触发漏洞后,LSASS(本地安全授权子系统服务)进程将崩溃。LSASS 是 Windows 操作系统中关键的安全服务,负责身份验证、凭据管理和安全策略的执行。进程崩溃会导致目标服务器不可用,从而影响整个域环境的正常运行。
处置优先级:高
漏洞类型:整数溢出
漏洞危害等级:严重
触发方式:网络远程
权限认证要求:无需身份认证
系统配置要求:允许匿名 RPC 调用(默认),DNS查询可出网
用户交互要求:无需用户交互
利用成熟度:POC已公开(会导致服务不可用)
修复复杂度:低,官方提供补丁修复方案
1. 攻击者能够发起并触发目标服务器的 RPC 调用,通常需要在内网环境中。
2. 目标服务器(DC)的 DNS 查询可出网。
3. 攻击者能够接收来自目标服务器的 LDAP/CLDAP 请求,并返回恶意响应。
常见利用场景:
企业内网:攻击者已具备内网渗透条件,可通过 RPC 与域控通信,并在同一网段或路由可达位置上搭建恶意 LDAP/CLDAP 服务。
公网风险:在少数情况下,若域控制器直接开放在公网且具备 DNS 出网解析能力,攻击链可以从互联网端直接触发,无需内网渗透环境,风险更高、传播范围更广。
Windows Server 2022(2024 年 12 月补丁前的版本)
Windows Server 2019(2024年12月补丁前的版本)
以及任何使用受影响 wldap32.dll 版本、启用 LDAP 服务的 Windows Server 系列。
更多影响版本可参考微软发布的安全公告https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113
1. 限制或禁止匿名 RPC 调用
配置防火墙、组策略,或使用终端防护设备阻断对域控的非授权 RPC 调用,提高攻击难度。
2. 阻断或监控相关流量。
在内部网络或流量防护类安全设备上短期内进行严格监控或限制,例如:阻断对可疑外网域名的解析、检测并拦截可疑 NBNS 欺骗、以及阻断异常大小的 CLDAP 响应包。
1月2日 互联网公开披露该漏洞POC
1月3日 长亭应急安全实验室复现漏洞
1月6日 长亭安全应急响应中心发布漏洞通告
参考资料:
[1].https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49113/
[2].https://github.com/SafeBreach-Labs/CVE-2024-49113
[3].https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们: