漏洞背景
2024年12月,安全研究员Yuki Chen发现两个Windows轻量级目录访问协议(LDAP)漏洞:
- CVE-2024-49112:CVSS 9.8分的远程代码执行(RCE)漏洞
- CVE-2024-49113:CVSS 7.5分的拒绝服务(DoS)漏洞
漏洞利用原理
CVE-2024-49112(RCE漏洞)
- 攻击域控制器时:攻击者需向目标发送特制RPC调用,触发对攻击者域的控制查找
- 攻击LDAP客户端时:需诱骗受害者执行域控制器查找或连接恶意LDAP服务器
CVE-2024-49113(DoS漏洞)
- SafeBreach实验室已发布PoC(代号LDAPNightmare)
- 攻击流程:发送DCE/RPC请求导致LSASS崩溃,并通过特制CLDAP响应包强制重启
- 该利用链经修改后可能实现CVE-2024-49112的RCE攻击
受影响系统
多个Windows版本受影响,具体列表参见:
防护措施
微软补丁:
- 已通过2024年12月补丁星期二更新修复
趋势科技防护规则:
- Deep Discovery Inspector规则:
- 5297: CVE-2024-49113检测规则
- 终端/云工作负载安全规则:
- 1012240: CVE-2024-49113防护规则
- TippingPoint网络过滤器:
- 45267: LDAP漏洞防护过滤器
最佳实践:
- 补丁管理:立即应用微软补丁
- 网络分段:隔离关键网络段
- 安全审计:定期漏洞评估
- 事件响应:建立应急响应计划
趋势Vision One附加功能
- 提供漏洞知识库(KB链接)
- 威胁情报报告(含LDAPNightmare PoC分析)
- 后渗透检测与修复技术