🌟简介
微软披露了其轻量级目录访问协议 (LDAP) 服务中存在的一个严重远程代码执行 (RCE) 漏洞,编号为 CVE-2024-49112。该漏洞能使未经身份验证的攻击者能够在 LDAP 服务上下文中执行任意代码,从而对企业网络构成严重风险。
受影响版本
Windows 10 Version 1809
10.0.0 至 10.0.17763.6659 的版本
Windows Server 2019
10.0.0 至 10.0.17763.6659 的版本
Windows Server 2022
10.0.0 至 10.0.20348.2966 的版本
10.0.0 至 10.0.20348.2908 的版本
Windows 11 version 22H2
10.0.0 至 10.0.22621.4602 的版本
Windows Server 2025
10.0.0 至 10.0.26100.2605 的版本
10.0.0 至 10.0.26100.2528 的版本
Windows Server 2016
10.0.0 至 10.0.14393.7606 的版本
Windows Server 2008 Service Pack 2
6.0.0 至 6.0.6003.23016 的 版本
Windows Server 2008 R2 Service Pack 1
6.1.0 至 6.1.7601.27467 的版本
Windows Server 2012
6.2.0 之前 6.2.9200.25222 的版本
Windows Server 2012 R2
6.3.0 之前 6.3.9600.22318 的版本
缓解措施
如果客户无法应用更新,是否可以采取任何措施来防范此漏洞?
确保将域控制器配置为不访问 Internet 或不允许来自不受信任的网络的入站 RPC。虽然任何一种缓解措施都可以保护您的系统免受此漏洞的影响,但应用这两种配置都可以针对此漏洞提供有效的深度防御。
RPC 和 LDAP 通过 SSL 在外部发布。在外部网络连接的上下文中,此缓解措施意味着什么?
应用缓解措施将降低攻击者成功说服或诱骗受害者连接到恶意服务器的风险。如果建立了连接,攻击者可能会通过 SSL 向目标发送恶意请求。
常见问题
客户需要执行哪些操作才能免受此漏洞的影响?
此漏洞会影响运行“安全更新”表中列出的受影响 Windows 版本的 LDAP 客户端和服务器。客户必须为其 Windows 版本应用最新的安全更新,才能防止此漏洞。
攻击者如何利用此漏洞?
成功利用此漏洞的未经身份验证的远程攻击者将获得在 LDAP 服务上下文中执行任意代码的能力。但是,成功利用取决于目标组件。
在利用 LDAP 服务器的域控制器的上下文中,要成功,攻击者必须向目标发送特制的 RPC 调用,以触发对攻击者域的查找,以便成功。
在利用 LDAP 客户端应用程序的上下文中,要成功,攻击者必须说服或诱骗受害者对攻击者的域执行域控制器查找或连接到恶意 LDAP 服务器。但是,未经身份验证的 RPC 调用不会成功。
攻击者能否利用连接到 Windows 11 的入站 RPC 隧道成功利用此漏洞?
是的,攻击者可以使用与域控制器的 RPC 连接来触发针对攻击者域的域控制器查找操作。
原文始发于微信公众号(SecHub网络安全社区):漏洞预警|CVE-2024-49112 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论