Eksploitasi proof-of-concept (PoC) telah dirilis untuk kelemahan keamanan yang kini telah ditambal yang berdampak pada Windows Lightweight Directory Access Protocol (LDAP) yang dapat memicu kondisi penolakan layanan (DoS).
Kerentanan pembacaan di luar batas dilacak sebagai CVE-2024-49113 (skor CVSS: 7.5). Masalah ini telah diatasi oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday untuk Desember 2024, bersama dengan CVE-2024-49112 (skor CVSS: 9.8), kelemahan integer overflow yang kritis pada komponen yang sama yang dapat mengakibatkan eksekusi kode jarak jauh.
Peneliti keamanan independen Yuki Chen (@guhe120) diberi penghargaan karena menemukan dan melaporkan kedua kerentanan tersebut.
PoC CVE-2024-49113 yang dirancang oleh SafeBreach Labs, dengan nama kode LDAPMimpi Burukdirancang untuk membuat crash Server Windows apa pun yang belum ditambal “tanpa prasyarat kecuali server DNS DC korban memiliki konektivitas Internet.”
Secara khusus, ini memerlukan pengiriman permintaan DCE/RPC ke server korban, yang pada akhirnya menyebabkan Layanan Subsistem Otoritas Keamanan Lokal (LSASS) mogok dan memaksa reboot ketika paket respons rujukan CLDAP dibuat khusus.
Lebih buruk lagi, perusahaan keamanan siber yang berbasis di California menemukan bahwa rantai eksploitasi yang sama juga dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh (CVE-2024-49112) dengan memodifikasi paket CLDAP.
Saran Microsoft untuk CVE-2024-49113 bersandar pada detail teknis, namun pembuat Windows telah mengungkapkan bahwa CVE-2024-49112 dapat dieksploitasi dengan mengirimkan permintaan RPC dari jaringan yang tidak tepercaya untuk mengeksekusi kode arbitrer dalam konteks layanan LDAP.
“Dalam konteks mengeksploitasi pengontrol domain untuk server LDAP, agar berhasil, penyerang harus mengirimkan panggilan RPC yang dibuat khusus ke target untuk memicu pencarian domain penyerang yang harus dilakukan agar berhasil,” kata Microsoft.
“Dalam konteks mengeksploitasi aplikasi klien LDAP, agar berhasil, penyerang harus meyakinkan atau mengelabui korban agar melakukan pencarian pengontrol domain untuk domain penyerang atau menyambung ke server LDAP jahat. Namun, panggilan RPC yang tidak diautentikasi tidak akan berhasil. ”
Selain itu, penyerang dapat menggunakan koneksi RPC ke pengontrol domain untuk memicu operasi pencarian pengontrol domain terhadap domain penyerang, kata perusahaan tersebut.
Untuk memitigasi risiko yang ditimbulkan oleh kerentanan ini, organisasi harus menerapkan patch Desember 2024 yang dirilis oleh Microsoft. Dalam situasi di mana patching langsung tidak memungkinkan, disarankan untuk “menerapkan deteksi untuk memantau respons rujukan CLDAP yang mencurigakan (dengan kumpulan nilai berbahaya tertentu), panggilan DsrGetDcNameEx2 yang mencurigakan, dan kueri DNS SRV yang mencurigakan.”
