LdapNightmare: Exploit Zero-Click ameaça servidores LDAP

Pesquisadores do SafeBreach Labs desenvolveram um exploit de prova de conceito (PoC) "zero-click" capaz de causar falhas em servidores Windows não corrigidos, explorando uma vulnerabilidade crítica no protocolo Windows Lightweight Directory Access Protocol (LDAP).

Essa falha, identificada como CVE-2024-49112, permite a execução remota de código e foi descoberta pelo pesquisador Yuki Chen (@guhe120). Publicada em 10 de dezembro de 2024 no site do Microsoft Security Response Center (MSRC), a vulnerabilidade recebeu uma pontuação CVSS de 9,8/10, evidenciando sua gravidade.

Controladores de Domínio (Domain Controllers, ou DCs) do Active Directory, componentes-chave em redes corporativas, foram diretamente afetados. Vulnerabilidades como essa comprometem significativamente a segurança da rede, permitindo que atacantes obtenham controle total sobre agentes e servidores sob o domínio.

Embora a Microsoft tenha corrigido a falha, nenhum exploit público ou detalhamento técnico havia sido divulgado, o que motivou a equipe do SafeBreach Labs a aprofundar suas análises e compartilhar descobertas que podem ajudar empresas a mitigar potenciais exposições.

Fluxo do Ataque - LdapNightmare

A exploração da CVE-2024-49112 ocorre devido a uma falha no cliente LDAP do Windows, que permite interações maliciosas entre o protocolo remoto Netlogon (NRPC) e o LDAP. O fluxo do ataque segue as etapas abaixo:

1. O atacante envia uma solicitação DCE/RPC ao servidor-alvo.

2. O servidor vítima é acionado para enviar uma consulta DNS SRV sobre o domínio SafeBreachLabs.pro.

3. O servidor DNS do atacante responde com o nome do host do atacante e a porta LDAP.

4. O servidor vítima envia uma solicitação NBNS para localizar o endereço IP do host recebido.

5. O atacante responde com seu endereço IP por meio de uma resposta NBNS.

6. O servidor vítima se torna um cliente LDAP e envia uma solicitação CLDAP para a máquina do atacante.

7. O atacante responde com um pacote de referência CLDAP que contém um valor específico, causando o travamento do LSASS no servidor vítima e forçando seu reinício.

Essa vulnerabilidade expõe uma fraqueza crítica na forma como o cliente LDAP do Windows lida com consultas e respostas maliciosas, permitindo que atacantes causem interrupções severas em servidores.

A CVE-2024-49112, apelidada de LdapNightmare, representa uma grave ameaça para ambientes corporativos, especialmente aqueles que utilizam controladores de domínio.

Além de destacar a importância de aplicar patches e corrigir sistemas vulneráveis, essa falha serve como um alerta para que empresas reforcem suas práticas de segurança e monitorem continuamente potenciais exposições em suas redes. As análises e contribuições do SafeBreach Labs fornecem informações valiosas para a mitigação eficaz dessa vulnerabilidade crítica.

Via - SafeBreach