微软在上个月修复的两个严重的活动目录域控制器漏洞不仅可被用于最初的拒绝服务 (DoS) 攻击链，还可被用于立即导致多个未修复的Windows 服务器崩溃。专家担心很多组织机构仍然易受攻击。

SafeBreach 公司的安全研究员分析了该DoS 漏洞CVE-2024-49113。该漏洞组合和一个类似的远程控制执行 (RCE) 漏洞CVE-2024-49112（CVSS评分9.8），位于用于搜索数据库的活动目录的轻量级目录访问协议 (LDAP) 中。这两个漏洞均已在12月的微软补丁更新中修复。

尽管这两个LDAP漏洞严重程度高且潜在影响大，但微软并未提供很多详情，而这也是 SafeBreach 公司表示继续深挖并发现更多详情的原因所在。该公司发布报告提到，“LDAP是微软活动目录中工作站和服务器用于访问和维护目录服务信息的协议。”

对该LDAP DoS 漏洞的进一步分析显示，该攻击链也可被威胁行动者用于实现 RCE，但更糟糕的是，只要目标系统的域控制器的DNS服务器连接到互联网，则它们可用于导致任何 Windows 服务器崩溃。

LDAP 漏洞为何如此危险

Zengo Wallet 公司的首席技术官兼联合创始人 Tal Be’ery 解释称，在微软发布12月补丁星期二更新之前，每个运行 Windows Server的组织机构都易受该漏洞影响。

他提到，“所以问题是，有多少组织机构修复了所有系统，且修复的主要是域名控制器？”虽然目前尚未有证据表明该漏洞已遭在野利用，但Be’ery 认为 PatchPoint 发布的利用代码对于威胁行动者而言就是一种信号。他提到，“我们假设这类代码已被利用，不过我们还没有任何相关证据。”

威胁行动者一般必须从一台被黑的设备开始实施攻陷，而域控制器充斥着凭据。正是黑客尝试深入系统给了防御人员在攻击升级前将其阻止的机会。他提到，“有了该LDAP漏洞，黑客能够在防御人员能够做出反应前，立即从1垒跑到100（域控制器）。”

SafeBreach 公司的研究员证实称微软发布的12月补丁有效，因此督促管理员立即修复Windows服务器和所有域控制器。如服务器无法修复，则Be’ery 建议防御人员“使用补偿控制如LDAP和RPC防火墙来拦截该漏洞的利用。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~