Siber Muhbir

Sınır dışı okuma güvenlik açığı CVE-2024-49113 olarak izlenir (CVSS puanı: 7.5). Microsoft tarafından, Aralık 2024 için Salı Yaması güncellemelerinin bir parçası olarak, aynı bileşende uzaktan kod yürütülmesine neden olabilecek kritik bir tamsayı taşması kusuru olan CVE-2024-49112 (CVSS puanı: 9.8) ile birlikte ele alındı.

Her iki güvenlik açığını da keşfeden ve bildiren bağımsız güvenlik araştırmacısı Yuki Chen (@guhe120).

SafeBreach Labs tarafından tasarlanan ve LDAPNightmare kod adlı CVE-2024-49113 PoC, "kurban DC'nin DNS sunucusunun İnternet bağlantısına sahip olması dışında hiçbir ön koşul olmaksızın" yamalanmamış herhangi bir Windows Sunucusunu çökertmek için tasarlanmıştır.

Özellikle, kurban sunucuya bir DCE/RPC isteği göndermeyi gerektirir ve sonuçta Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti'nin (LSASS) çökmesine ve "lm_referral" için sıfırdan farklı bir değere sahip özel hazırlanmış bir CLDAP başvuru yanıt paketi gönderildiğinde yeniden başlatmaya zorlanmasına neden olur.

Daha da kötüsü, Kaliforniya merkezli siber güvenlik şirketi, CLDAP paketini değiştirerek uzaktan kod yürütmeyi (CVE-2024-49112) gerçekleştirmek için aynı istismar zincirinden de yararlanılabileceğini buldu.

Microsoft'un CVE-2024-49113 tavsiyesi teknik ayrıntılara dayanıyor, ancak Windows üreticisi, CVE-2024-49112'nin, LDAP hizmeti bağlamında rastgele kod yürütmek için güvenilmeyen ağlardan RPC istekleri göndererek yararlanılabileceğini ortaya çıkardı.

Microsoft, "Bir LDAP sunucusu için bir etki alanı denetleyicisinden yararlanma bağlamında, başarılı olmak için bir saldırganın, saldırganın etki alanının başarılı olması için gerçekleştirilecek bir aramayı tetiklemek için hedefe özel hazırlanmış RPC çağrıları göndermesi gerekir" dedi.

"Bir LDAP istemci uygulamasından yararlanma bağlamında, bir saldırganın başarılı olması için kurbanı, saldırganın etki alanı için bir etki alanı denetleyicisi araması yapmaya veya kötü amaçlı bir LDAP sunucusuna bağlanmaya ikna etmesi veya kandırması gerekir. Ancak, kimliği doğrulanmamış RPC çağrıları başarılı olmaz."

Ayrıca, bir saldırganın, saldırganın etki alanına karşı etki alanı denetleyicisi arama işlemlerini tetiklemek için bir etki alanı denetleyicisine RPC bağlantısı kullanabileceğini belirtti.

Bu güvenlik açıklarının oluşturduğu riski azaltmak için kuruluşların Microsoft tarafından yayınlanan Aralık 2024 yamalarını uygulaması çok önemlidir. Anında düzeltme eki uygulamanın mümkün olmadığı durumlarda, "şüpheli CLDAP başvuru yanıtlarını (belirli kötü amaçlı değer kümesiyle), şüpheli DsrGetDcNameEx2 çağrılarını ve şüpheli DNS SRV sorgularını izlemek için algılamaların uygulanması" önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.