Uma prova de conceito (PoC) para a falha de segurança apelidada de LDAPNightmare foi recentemente divulgada, trazendo preocupações significativas para administradores de sistemas que utilizam servidores Windows. A vulnerabilidade, identificada como CVE-2024-49113, foi corrigida pela Microsoft nas atualizações de dezembro de 2024, mas ainda representa um risco para sistemas sem patch.
Vulnerabilidades críticas no LDAP do Windows
Com uma pontuação CVSS de 7,5, essa falha de leitura fora dos limites pode ser explorada para causar uma condição de negação de serviço (DoS). Outro problema relacionado, o CVE-2024-49112, tem uma gravidade ainda maior, com CVSS de 9,8, pois permite execução remota de código (RCE).
Impactos do LDAPNightmare
A falha afeta o Lightweight Directory Access Protocol (LDAP) do Windows. Segundo o SafeBreach Labs, o exploit pode travar servidores Windows sem patch, bastando que o servidor DNS do controlador de domínio (DC) esteja conectado à internet. O ataque é desencadeado ao enviar uma solicitação DCE/RPC, que faz o Serviço de Subsistema de Autoridade de Segurança Local (LSASS) falhar, forçando a reinicialização do controlador de domínio.
Além disso, o exploit pode ser modificado para habilitar execução remota de código (RCE), transformando a ameaça de DoS em algo ainda mais perigoso.
Detalhes técnicos e mitigação
A Microsoft revelou que o CVE-2024-49112 pode ser explorado por meio de solicitações RPC de redes não confiáveis, permitindo a execução de código arbitrário no contexto do serviço LDAP. Ataques a controladores de domínio podem ser realizados por meio de chamadas RPC especialmente criadas, enquanto aplicativos cliente LDAP podem ser enganados a se conectar a servidores maliciosos.
Notícias Relacionadas
Segurança cibernética
Falhas críticas de segurança corrigidas no Microsoft Dynamics 365 e Power Apps
Três falhas de segurança no Microsoft Dynamics 365 e Power Apps foram corrigidas, expondo dados sensíveis. Detalhes sobre vulnerabilidades que permitiam acesso não autorizado a informações confidenciais.
Segurança digital
Mais de 3 milhões de servidores de e-mail expostos sem proteção TLS
Mais de 3 milhões de servidores IMAP e POP3 sem TLS estão vulneráveis, expondo credenciais e e-mails em texto simples a ataques de rede.
Para mitigar os riscos dessas vulnerabilidades, é essencial que as organizações:
- Apliquem imediatamente os patches de segurança de dezembro de 2024.
- Implementem detecções para monitorar atividades suspeitas, como respostas CLDAP maliciosas e consultas DNS SRV.
Em casos onde não seja possível aplicar os patches imediatamente, reforçar as políticas de monitoramento é crucial para prevenir ataques.
Com o aumento das ameaças cibernéticas, vulnerabilidades como o LDAPNightmare reforçam a importância de manter sistemas atualizados e monitorar atividades em tempo real.
