Descripción
Una vulnerabilidad crítica en el cliente LDAP de Windows que según Microsoft permite DoS y la ejecución remota de código. El exploit aprovecha la vulnerabilidad para bloquear los sistemas Windows Server de destino mediante la interacción con su Netlogon Remote Protocol (NRPC), y el cliente LDAP.
El atacante envía una solicitud DCE/RPC a la máquina del servidor de la víctima. Se activa la víctima para que envíe una consulta DNS SRV sobre el dominio. El servidor DNS del atacante responde con el nombre de host de la máquina del atacante y el puerto LDAP. La víctima envía una solicitud NBNS de difusión para encontrar la dirección IP del nombre de host recibido (del atacante). El atacante envía una respuesta NBNS con su dirección IP. La víctima se convierte en un cliente LDAP y envía una solicitud CLDAP a la máquina del atacante. El atacante envía un paquete de respuesta de referencia CLDAP con un valor específico que hace que LSASS se bloquee y fuerce el reinicio del servidor de la víctima.
Se podria conseguir un RCE (Remote Code Execution), modificando el ultimo paquete CLDAP.
Recursos afectados
Servidor Windows sin parchear (no solo los controladores de dominio), excepto que el servidor DNS del controlador de dominio víctima tenga conectividad a Internet.
Solución
Aplicar el parche publicado por Microsoft en https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113.
Configura firewalls y reglas para bloquear tráfico DCE/RPC, NBNS y CLDAP desde fuentes no confiables.
Utiliza herramientas SIEM para detectar patrones de ataque en los protocolos mencionados.
Fuente: NIST
Te puede interesar:
Tres Zero-day en Apple
Log4Shell: La vulnerabilidad que sacudió el mundo de la ciberseguridad
Vulnerabilidades críticas en impresoras HP
Vulnerabilidad Zero-Click en Outlook (RCE)
Vulnerabilidad crítica en dispositivos Samsung permite ejecución de código remoto
Vulnerabilidad 0-day en Windows Server 2012
