Exploit LDAPNightmare powoduje awarię LSASS i restarty kontrolerów domeny

10 grudnia 2024 r. Yuki Chen odkrył dwie luki w zabezpieczeniach LDAP: zdalne wykonanie kodu (RCE) i odmowę usługi/wyciek informacji, dotyczące dowolnego DC. Podatności zostały opublikowane na stronie internetowej Microsoft Security Response Center (MSRC) jako część najnowszej aktualizacji Patch Tuesday. Podatność RCE została sklasyfikowana jako CVE-2024-49112 i otrzymała wynik CVSS na poziomie 9,8 na 10. Drugi błąd, typu DOS, otrzymał sygnaturę CVE-2024-49113. Jednak ani dla pierwszej, ani dla drugiej luki nie został opublikowany żaden publiczny exploit czy artykuł techniczny szczegółowo opisujący podatność i ścieżkę eksploatacji. Aż do teraz.

Opis ataku

SafeBreach Labs opracowało proof-of-concept exploita dla CVE-2024-49113, który powoduje awarię dowolnego niezałatanego serwera Windows (nie tylko kontrolerów domeny) bez żadnych warunków wstępnych, poza tym, że serwer DNS kontrolera domeny ofiary ma łączność z Internetem. Poniżej wysokopoziomowy opis takiego ataku:

1. Atakujący wysyła żądanie DCE/RPC do komputera/serwera ofiary w domenie.
2. Maszyna ofiary zmuszana jest przez to do wysłania zapytania DNS SRV dotyczącego SafeBreachLabs.pro.
3. Serwer DNS atakującego odpowiada nazwą hosta maszyny atakującego i portem LDAP.
4. Ofiara wysyła żądanie rozgłoszeniowe NBNS, by znaleźć adres IP otrzymanej nazwy hosta (atakującego).
5. Atakujący wysyła odpowiedź NBNS ze swoim adresem IP.
6. Ofiara staje się klientem LDAP i wysyła żądanie CLDAP do komputera atakującego.
7. Atakujący wysyła pakiet odpowiedzi CLDAP z określoną wartością, co powoduje awarię LSASS i wymuszenie ponownego uruchomienia serwera ofiary.

Podobno ten sam wektor ataku może zostać wykorzystany do osiągnięcia RCE, czyli użycia drugiej, bardziej krytycznej podatności. Cały łańcuch wymieniony powyżej  powinien być podobny, ale ostatni wysłany pakiet CLDAP będzie odpowiednio zmodyfikowany. Szczegóły można znaleźć w artykule SafeBreach Labs.

Ustalenia opisane powyżej są znaczące z wielu powodów. Po pierwsze pokazano krytyczność tej luki, udowadniając, że może ona zostać wykorzystana do awarii wielu niezałatanych serwerów Windows. Nagłe restarty serwerów produkcyjnych często kończą się katastrofą. Po drugie zweryfikowano, że poprawka Microsoftu naprawia podatność typu out-of-band, a exploit nie jest w stanie spowodować awarii załatanych serwerów. Na koniec udostępniono publiczny PoC, którego organizacje mogą użyć do testowania i weryfikacji, czy ich serwery są chronione.

Na koniec

W celu zniwelowania tej podatności organizacje powinny wdrożyć poprawkę wydaną przez Microsoft, szczegółowo opisaną tutaj. Jak wspomniano powyżej, SafeBreach Labs zweryfikowało, że poprawka wystarczająco chroni testowane serwery przed wykorzystaniem i awarią. Instalacja poprawki powinna odbyć się jak najszybciej, choć wiadomo, że łatanie kontrolera domeny i serwerów Windows musi być wykonywane ostrożnie i z odpowiednim przygotowaniem.

Badania osób trzecich nad nowymi podatnościami w domenie Microsoft z pewnością przyniosą wiele dobrego dla testerów bezpieczeństwa, inżynierów oprogramowania czy samego Microsoftu. Trzeba jednak mieć się na baczności, ponieważ publicznie wydany exploit zawsze powoduje zwiększenie natężenia ataków w środowisku naturalnym. Warto w ciągu najbliższych tygodni załatać wszystkie swoje serwery Windows, rozpoczynając od najbardziej narażonych, czyli kontrolerów domeny.