最新漏洞: LDAPNightmare 导致 Windows Server 崩溃风险

重点概述

• 漏洞描述 : 一个新的概念验证漏洞（CVE-2024-49113）可能导致易受攻击的 Windows Server 实例和域控崩溃和重启。
• 攻击手法 : 攻击者通过互联网发送 CLDAP 转介绍响应包，干扰本地安全身份验证子系统服务。
• 修复建议 : 针对 CVE-2024-49113 和 CVE-2024-49112 的漏洞，建议及时打补丁并加强 DNS SRV 查询的监控。

最近，有研究显示，部分暴露在互联网的 Windows Server 实例及域控制器容易受到称为 LDAPNightmare的漏洞攻击，该漏洞已被修复，但通过新的概念验证（PoC）利用可能导致系统崩溃和重启。根据 的报道，该漏洞被跟踪为 CVE-2024-49113，属于高严重性级别。

漏洞攻击流程

攻击只需具备互联网连接，即可实施攻击。具体流程如下： 1. 恶意方首先发送一个 CLDAP 转介绍响应包。 2.
此包会干扰本地安全身份验证子系统服务（Local Security Authority Subsystem Service）。 3.
随后，攻击者向目标机器发送 DCE/RPC 请求，将受害者的机器标记为 LDAP 客户端，要求从攻击者的机器请求 CLDAP。

根据 SafeBreach 的研究人员，这种攻击可能会使 CVE-2024-49112的漏洞也更可能被利用，因此他们建议针对这两个漏洞及时进行补丁修复。他们强调：“我们建议组织在进行修补之前，改进对可疑的 DNS SRV 查询、CLDAP转介绍响应和 DsrGetDcNameEx2 调用的识别。”

建议与对策

建议措施 | 说明
—|—
及时打补丁 | 对于 CVE-2024-49113 和 CVE-2024-49112 的补丁应尽快安装。
加强监控 | 对可疑的 DNS SRV 查询及 CLDAP 转介绍响应进行监控。

强烈建议组织在未能立即应用补丁的情况下，提升对潜在威胁的预警能力，以保护系统的安全。