关于CVE-2024-49112和CVE-2024-49113的技术分析

2024年12月，独立安全研究员Yuki Chen发现了两个Windows轻量级目录访问协议（LDAP）漏洞：CVE-2024-49112（CVSS评分9.8的远程代码执行漏洞）和CVE-2024-49113（CVSS评分7.5的拒绝服务漏洞）。

攻击者如何利用CVE-2024-49112

根据微软说明，成功利用CVE-2024-49112的远程未认证攻击者能够在LDAP服务上下文中执行任意代码。但成功利用取决于攻击目标组件：

• 针对域控制器/LDAP服务器：攻击者需向目标发送特制RPC调用，触发对攻击者域的控制器查找
• 针对LDAP客户端应用：攻击者需诱骗受害者执行对攻击者域的控制器查找或连接恶意LDAP服务器（未认证RPC调用无法成功）

攻击者如何利用CVE-2024-49113

SafeBreach Labs发布了CVE-2024-49113的概念验证（PoC）漏洞利用代码（代号LDAPNightmare）。该PoC可使任何未打补丁的Windows服务器崩溃，唯一前提是受害者域控制器的DNS服务器具有互联网连接。

攻击流程始于向受害者服务器发送DCE/RPC请求，导致本地安全机构子系统服务（LSASS）崩溃，并在攻击者发送特制无连接LDAP（CLDAP）引用响应数据包时强制重启。

SafeBreach Labs还发现，通过修改CLDAP数据包，同一利用链可实现通过CVE-2024-49112的远程代码执行。

受影响的Windows版本

多个Windows版本受这两个漏洞影响。请参考以下Microsoft安全响应中心页面了解受影响版本列表：

• CVE-2024-49112：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
• CVE-2024-49113：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113

防护措施

微软已在2024年12月补丁星期二更新中修复这两个漏洞。组织必须立即应用这些补丁以防止攻击者利用这些漏洞危害系统。

Trend Micro发布了以下规则和过滤器提供防护：

• Deep Discovery Inspector规则：5297 - CVE-2024-49113 Windows LDAP拒绝服务利用 - CLDAP(响应)
• 端点安全/云工作负载安全/Deep Security规则：1012240 - Microsoft Windows Active Directory拒绝服务漏洞(CVE-2024-49113)
• TippingPoint/云网络安全过滤器：45267 - LDAP: Microsoft Windows轻量级目录访问协议拒绝服务漏洞

Trend客户还可利用Trend Vision One获取这些漏洞的最新信息。该平台提供多种后期利用检测和修复技术，帮助客户调查和修复环境中的潜在问题。

客户还可在Trend Vision One中访问情报报告和威胁洞察功能，获取关于威胁行为者、恶意活动和技术手法的全面信息。

通用漏洞防护最佳实践

• 补丁管理：定期更新和修补软件、操作系统和应用程序
• 网络分段：将关键网络段与更广泛网络隔离
• 定期安全审计：进行安全审计和漏洞评估
• 事件响应计划：创建、测试和维护事件响应计划