Avviso di Minaccia alla Sicurezza Informatica: vulnerabilità zero-click RCE di Microsoft Windows

È stata scoperta una vulnerabilità critica nel protocollo Lightweight Directory Access Protocol (LDAP) di Microsoft Windows, identificata come CVE-2024-49112. Il difetto ha un punteggio di gravità CVSS di 9.8, rappresentando una grave minaccia per le reti aziendali. Continua a leggere questo avviso di minaccia alla sicurezza informatica per sapere come mitigare il tuo rischio.

Qual è la minaccia?

Una zero-click Proof of Concept (PoC) exploit, minacciosamente chiamata "LDAP Nightmare", è stata rilasciata per CVE-2024-49112. È in grado di mandare in crash qualsiasi Windows Server non patchato (non limitato ai controller di dominio), richiedendo solo che il server DNS della vittima abbia connettività Internet. Questa vulnerabilità critica di Windows Server rappresenta una minaccia significativa per le reti aziendali, specialmente quelle che si affidano ad Active Directory (AD) per l'autenticazione e la gestione. L'exploit consente l'esecuzione di codice remoto (RCE) senza autenticazione utilizzando debolezze nelle comunicazioni del Lightweight Directory Access Protocol (LDAP).

Il flusso di attacco PoC è il seguente:

1. L'attaccante invia una richiesta DCE/RPC al server della vittima.
2. La vittima interroga il server DNS dell'attaccante per informazioni.
3. Il server DNS dell'attaccante risponde con il nome host della macchina dell'attaccante e la porta LDAP.
4. La vittima invia una richiesta broadcast NBNS per trovare l'indirizzo IP del nome host ricevuto (dell'attaccante).
5. L'attaccante invia una risposta NBNS con il suo indirizzo IP.
6. La vittima diventa un client LDAP e invia una richiesta CLDAP alla macchina dell'attaccante.
7. L'attaccante invia un pacchetto di risposta di rinvio CLDAP con un valore specifico che provoca il crash di LSASS e costringe al riavvio del server vittima.

Perché è degno di nota?

L'exploit inizia con query DNS SRV per individuare i server LDAP del dominio. Gli attori malevoli manipolano le risposte NetBIOS e LDAP senza connessione (CLDAP) per ottenere un punto d'appoggio nella comunicazione con il server target. Concludendo con la consegna di risposte di referral LDAP malevoli, l'attaccante può causare il crash del LSASS (Local Security Authority Subsystem Service), consentendo agli attaccanti di bypassare l'autenticazione ed eseguire codice arbitrario da remoto, causando una significativa interruzione ai sistemi non patchati.

Qual è l'esposizione o il rischio?

Il rilascio di questo PoC zero-click evidenzia la grave minaccia che questa vulnerabilità rappresenta per gli ambienti aziendali. Il crash di LSASS può rendere i Controller di Dominio inoperativi, interrompendo l'autenticazione e l'accesso alle risorse. Inoltre, consente agli aggressori con un punto d'appoggio di aumentare i privilegi e lanciare ulteriori attacchi.

Le organizzazioni che si affidano fortemente ad Active Directory sono a rischio significativo, con conseguenze potenziali tra cui tempo di inattività, violazioni dei dati e movimenti laterali da parte degli avversari.

Quali sono le raccomandazioni?

Barracuda consiglia le seguenti azioni per proteggere il tuo ambiente contro questa vulnerabilità:

• Applica immediatamente le patch del Patch Tuesday di Microsoft di dicembre 2024.
• Monitora le query DNS SRV sospette, le risposte di referral CLDAP e le chiamate DsrGetDcNameEx2 fino al completamento della patch.
• Implementa la segmentazione della rete per isolare sistemi e servizi critici al fine di limitare l'impatto potenziale di un exploit.
• Esegui regolari audit di sicurezza e test di penetrazione per identificare e risolvere le vulnerabilità nel tuo ambiente.

Riferimenti

Per ulteriori informazioni dettagliate sulle raccomandazioni, visitare i seguenti collegamenti:

• https://cybersecuritynews.com/vulnerabilità-rce-ldap-windows-poc/
• https://medium.com/@scottbolen/ldap-nightmare-zero-click-exploit-cve-2024-49112-sconvolge-i-server-windows-correggi-subito-d8d1170140b1
• https://securityboulevard.com/2025/01/ldapnightmare-safebreach-labs-pubblica-il-primo-proof-of-concept-exploit-per-cve-2024-49112/

Questo avviso di minaccia è stato originariamente pubblicato su SmarterMSP.com.