漏洞影响
1. 让未打补丁的服务器崩溃; 2. 在LDAP服务环境下执行任意代码; 3. 有可能破坏整个域环境。
漏洞利用技术细节
1. 攻击者向目标服务器发送DCE/RPC请求; 2. 目标服务器向攻击者的DNS服务器查询以获取信息; 3. 攻击者回应主机名和LDAP端口; 4. 目标服务器发送NBNS广播以定位攻击者的主机名; 5. 攻击者回复其IP地址; 6. 目标服务器成为LDAP客户端,并向攻击者的机器发送CLDAP请求; 7. 攻击者发送恶意引用响应,致使LSASS(本地安全机构子系统服务)崩溃并重启服务器。
1. 立即应用微软2024年12月的补丁; 2. 在补丁安装完成之前,监控可疑的DNS SRV查询、CLDAP引用响应和DsrGetDcNameEx2调用; 3. 使用SafeBreach的PoC工具(可从GitHub获取)来测试自身环境。
原文始发于微信公众号(乌雲安全):Windows 曝9.8分漏洞,已有PoC及利用情况
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论