Vulnerabilidad crítica protocolo LDAP en servidores Windows

Crítica Alerta 5

Descripción

Una vulnerabilidad crítica en el cliente LDAP de Windows que según Microsoft permite DoS y la ejecución remota de código. El exploit aprovecha la vulnerabilidad para bloquear los sistemas Windows Server de destino mediante la interacción con su Netlogon Remote Protocol (NRPC), y el cliente LDAP.

El atacante envía una solicitud DCE/RPC a la máquina del servidor de la víctima. Se activa la víctima para que envíe una consulta DNS SRV sobre el dominio. El servidor DNS del atacante responde con el nombre de host de la máquina del atacante y el puerto LDAP. La víctima envía una solicitud NBNS de difusión para encontrar la dirección IP del nombre de host recibido (del atacante). El atacante envía una respuesta NBNS con su dirección IP. La víctima se convierte en un cliente LDAP y envía una solicitud CLDAP a la máquina del atacante. El atacante envía un paquete de respuesta de referencia CLDAP con un valor específico que hace que LSASS se bloquee y fuerce el reinicio del servidor de la víctima.

Se podria conseguir un RCE (Remote Code Execution), modificando el ultimo paquete CLDAP.

Recursos afectados

Servidor Windows sin parchear (no solo los controladores de dominio), excepto que el servidor DNS del controlador de dominio víctima tenga conectividad a Internet.

Solución

Aplicar el parche publicado por Microsoft en https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113.

Configura firewalls y reglas para bloquear tráfico DCE/RPC, NBNS y CLDAP desde fuentes no confiables.

Utiliza herramientas SIEM para detectar patrones de ataque en los protocolos mencionados.

Fuente: NIST

Inscríbete para estar al día
Comparte esta alerta de seguridad:

Deja un comentario

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Servicio de avisos

Recibe las alertas más importantes