新的一年，网络安全大戏依旧——但这一次是重磅炸弹！CVE-2024–49113又名令人恐惧的“ LDAP噩梦”。这个漏洞让世界各地的 IT 管理员一边疯狂修补系统，一边像喝水一样喝咖啡。为什么？因为这个零点击漏洞不只是敲门——它还会破门而入、偷走你的零食，甚至放火烧房子。

• 💣类型：远程代码执行（RCE）。

• 💥 CVSS 评分： 9.8（翻译：情况糟糕透顶）。

• ⚡ 漏洞利用路径：无需密码。无需登录。只需网络连接、DNS 服务器和不良氛围。

• 🎯 受影响的系统： Windows Server 2019–2022（未修补）。

如果您的企业使用Active Directory 域控制器（占您总数的 99.9%），您需要立即停止滚动并开始修补。此漏洞会危害您最关键的系统 — 在周一的一次意外会议中，未修补的服务器崩溃的速度比您预期的要快。

漏洞分析：“LDAP 噩梦”为何如此可怕？

1. DNS SRV 查询：攻击者启动 DNS SRV 查询来瞄准您的系统。

2. NetBIOS/CLDAP 操纵：发送狡猾的小响应来引诱您的服务器进入陷阱。

3. 恶意 LDAP 引荐：砰！您的本地安全机构子系统服务 (LSASS)在黑色星期五促销期间崩溃的程度比服务器还要严重。

    最可怕的是什么？零点击。你不需要点击任何东西。没有网络钓鱼，没有电子邮件——只有一个开放的、未打补丁的系统，你的服务器就完蛋了。

为什么要关心？

首先，微软已经在2024 年 12 月补丁星期二发布了补丁。但如果你还没有应用它，让我直言不讳地说：你很危险。

还是不相信？以下是可能发生的情况：

• 未修补的服务器将会崩溃，包括您宝贵的 Active Directory DC。

• 攻击者可能会转而利用CVE-2024-49112，这本来就是坏消息，但现在却有了犯罪伙伴。

如何像老板一样保护系统

1. 昨天就应用补丁：说真的，如果你还没有更新，现在就更新。微软针对CVE-2024-49113的补丁是你的生命线。

2. 监视流量：监视网络中是否存在异常LDAP活动、DNS SRV查询和CLDAP响应。这些都是攻击者可能潜伏的危险信号。

3. 测试漏洞：使用最新发布的PoC 工具LdapNightmare （https://github.com/SafeBreach-Labs/CVE-2024-49113）。这可让您测试服务器是否存在风险，而无需实际利用漏洞。

为什么这比以往任何时候都重要

此PoC 工具的发布也使得CVE-2024–49112被利用的可能性更大。这意味着您可以获得一举两得的漏洞（而且不是好漏洞）。修补这两个漏洞，关闭潜在攻击者的大门。

总结

• 新的零点击漏洞CVE-2024-49113正在肆虐。

• 关键的 Windows 服务器，尤其是Active Directory DC，都面临风险。

• 立即修补，以避免成为下一个网络安全新闻的头条。

时间紧迫，朋友们！让我们不要在 2025 年到来时再发生另一场可避免的灾难。更新这些服务器，监控您的网络，然后松一口气，因为您已经尽了自己的责任。

原文始发于微信公众号（KK安全说）：CVE-2024-49113“LDAP 噩梦”：2025 年首个 PoC 漏洞针对关键 Windows 漏洞