最新漏洞: LDAPNightmare 导致 Windows Server 崩溃风险
重点概述
- 漏洞描述 : 一个新的概念验证漏洞(CVE-2024-49113)可能导致易受攻击的 Windows Server 实例和域控崩溃和重启。
- 攻击手法 : 攻击者通过互联网发送 CLDAP 转介绍响应包,干扰本地安全身份验证子系统服务。
- 修复建议 : 针对 CVE-2024-49113 和 CVE-2024-49112 的漏洞,建议及时打补丁并加强 DNS SRV 查询的监控。
最近,有研究显示,部分暴露在互联网的 Windows Server 实例及域控制器容易受到称为 LDAPNightmare的漏洞攻击,该漏洞已被修复,但通过新的概念验证(PoC)利用可能导致系统崩溃和重启。根据 的报道,该漏洞被跟踪为 CVE-2024-49113,属于高严重性级别。
漏洞攻击流程
攻击只需具备互联网连接,即可实施攻击。具体流程如下: 1. 恶意方首先发送一个 CLDAP 转介绍响应包。 2.
此包会干扰本地安全身份验证子系统服务(Local Security Authority Subsystem Service)。 3.
随后,攻击者向目标机器发送 DCE/RPC 请求,将受害者的机器标记为 LDAP 客户端,要求从攻击者的机器请求 CLDAP。
根据 SafeBreach 的研究人员,这种攻击可能会使 CVE-2024-49112的漏洞也更可能被利用,因此他们建议针对这两个漏洞及时进行补丁修复。他们强调:“我们建议组织在进行修补之前,改进对可疑的 DNS SRV 查询、CLDAP转介绍响应和 DsrGetDcNameEx2 调用的识别。”
建议与对策
建议措施 | 说明
—|—
及时打补丁 | 对于 CVE-2024-49113 和 CVE-2024-49112 的补丁应尽快安装。
加强监控 | 对可疑的 DNS SRV 查询及 CLDAP 转介绍响应进行监控。
强烈建议组织在未能立即应用补丁的情况下,提升对潜在威胁的预警能力,以保护系统的安全。