خانه » اکسپلویت LDAPNightmare، موجب کرش کردن LSASS و ریبوت شدن سرورهای ویندوز میشود!
آسیب پذیری و وصله‌های امنیتی

اکسپلویت LDAPNightmare، موجب کرش کردن LSASS و ریبوت شدن سرورهای ویندوز میشود!

توسط Vulnerbyt_News
نوشته شده توسط Vulnerbyt_News
تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - اکسپلویت LDAPNightmare - آسیب پذیری های CVE-2024-49112 و CVE-2024-49113

یک محقق امنیتی به نام یوکی چن (@guhe120)، دهم دسامبر ۲۰۲۴ ، دو آسیب پذیری (CVE-2024-49112 و CVE-2024-49113) مرتبط با پروتکل LDAP را کشف و گزارش کرد.

آسیب‌ پذیری CVE-2024-49112 یک نقص امنیتی بحرانی در پروتکل LDAP ویندوز می‌باشد که می‌تواند منجر به اجرای کد از راه دور (RCE) شود. این آسیب ‌پذیری با امتیاز CVSS 9.8  در Patch Tuesday ماه دسامبر توسط مایکروسافت پچ گردید.

آسیب‌پذیری CVE-2024-49113 نیز یک نقص امنیتی خواندن خارج از محدوده در همان پروتکل LDAP می‌باشد که می‌تواند منجر به حملات انکار سرویس (DoS) شود. این آسیب‌ پذیری توسط مایکروسافت به عنوان بخشی از به‌روزرسانی Patch Tuesday ماه دسامبر در کنار  CVE-2024-49112پچ شده است.

اکنون پس از گذشت حدود سه هفته، محققان آزمایشگاه امنیتی SafeBreach، اکسپلویتی (PoC) را برای CVE-2024-49113 ارائه کرده‌اند که می‌تواند موجب کرش کردن سرویس LSASS و در نتیجه ریبوت شدن سرور ویندوز (نه فقط دامین کنترلرها) پچ نشده متصل به اینترنت شود. این اکسپلویت که LDAPNightmare نام دارد می‌تواند بر پروتکل LDAP تأثیر بگذارد و شرایط انکار سرویس (DoS) را ایجاد کند.

سرویس LSASS مسئول احراز هویت کاربران و مدیریت امنیت در سیستم عامل ویندوز است. کرش کردن این سرویس موجب ریستارت شدن خودکار سیستم می‌شود.

این حمله مستلزم ارسال یک درخواست DCE/RPC به سرور قربانی برای ارسال درخواست‌های DNS و LDAP است که به یک پاسخ  LDAPساخته ‌شده که فرآیند LSASS را از کار می‌اندازد و سرور را مجدد راه‌اندازی می‌کند، ختم می‌شود. در نهایت قربانی به عنوان کلاینت LDAP ، یک درخواست CLDAP را به ماشین مهاجم ارسال می‌کند.

محققان SafeBreach کشف کردند که می‌توان از همان زنجیره اکسپلویت برای دستیابی به اجرای کد از راه دور (CVE-2024-49112)  با ایجاد تغییر در پکت  CLDAP استفاده کرد.

به گفته مایکروسافت، CVE-2024-49112 می‌تواند با ارسال درخواست‌های RPC از شبکه‌های غیرقابل اطمینان برای اجرای کد دلخواه در فریمورک سرویس LDAP مورد سوء استفاده قرار گیرد.

محققان حدس می‌زنند که همان حمله می‌تواند به مهاجم از راه دور اجازه دهد تا با تغییر پکت CLDAP، کد دلخواه را روی سرورهای آسیب پذیر اجرا کند.

همانطور که اشاره شد، شواهد حاکی از آن است که نه تنها می‌توان از این دو آسیب پذیری علیه دامین کنترلرها (DC) استفاده کرد، بلکه CVE-2024-49112 و CVE-2024-49113 می‌توانند بر هر سرور ویندوز پچ ‌نشده تأثیر بگذارند. از این رو توصیه می‌شود، به روزرسانی‌های امنیتی ویندوز سرور فورا دریافت و نصب گردند.

 

منابع

https://thehackernews.com/2025/01/ldapnightmare-poc-exploit-crashes-lsass.html

https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49113

مقاله پیشنهادی:

به‌ روزرسانی‌ Patch Tuesday ماه دسامبر ۲۰۲۴ مایکروسافت

همچنین ممکن است دوست داشته باشید

شناسایی آسیب ‌پذیری در اسکنر Nuclei – فورا...

سوء استفاده بات نت‌های FICORA و CAPSAICIN از...

روتر صنعتی Four-Faith توسط آسیب پذیری CVE-2024-12856 مورد...

سوء استفاده هکرها از آسیب پذیری CVE-2024-3393 برای...

آپاچی، سه آسیب ‌پذیری بحرانی را در محصولات...

آسیب پذیری‌های بحرانی در افزونه‌های پریمیوم WPLMS و...

آسیب پذیری بحرانی CVE-2024-56337 در Apache Tomcat را...

سوء استفاده هکرها از آسیب پذیری پچ شده...

فورتینت در خصوص آسیب پذیری بحرانی در ابزار...

کشف سه آسیب پذیری بحرانی جدید در فایروال‌...

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.