2024年12月，微软通过月度补丁修复了Windows轻量级目录访问协议(LDAP)中的两个高危漏洞：

• CVE-2024-49112：远程代码执行漏洞，攻击者可通过特制LDAP请求在目标系统执行任意代码
• CVE-2024-49113：拒绝服务漏洞，可导致LDAP服务崩溃

我们在GitHub发现伪装成CVE-2024-49113概念验证(PoC)的恶意仓库。该仓库将原始Python文件替换为UPX压缩的可执行文件poc.exe，执行后会：

1. 在%Temp%目录释放PowerShell脚本
2. 创建计划任务执行编码脚本（图2）
3. 从Pastebin下载二级脚本（图3）
4. 收集以下信息并压缩上传至FTP服务器：
   • 计算机信息
   • 进程列表
   • 关键目录文件(下载/文档/桌面等)
   • 网络适配器及IP信息
   • 已安装更新（图4）

防护建议包括：

• 仅从官方仓库下载代码依赖
• 检查仓库提交历史中的异常
• 验证仓库所有者身份真实性
• 关注社区讨论中的风险提示

趋势科技Vision One平台已提供相关威胁检测规则，客户可通过以下功能获得防护：

• 威胁情报报告《POC or Poison?》
• 搜索应用检测可疑PowerShell脚本路径
• IOC扫描功能匹配攻击指标

完整攻击指标(IOC)列表详见文末附录。