Aviso de Ameaça de Cibersegurança: Vulnerabilidade RCE de zero clique no Microsoft Windows

Foi descoberta uma vulnerabilidade crítica no Protocolo de Acesso a Diretório Leve (LDAP) do Microsoft Windows, identificada como CVE-2024-49112. A falha tem uma pontuação de gravidade CVSS de 9.8, representando uma grande ameaça para redes empresariais. Continue a ler este Aviso de Ameaça de Cibersegurança para saber como mitigar o seu risco.

Qual é a ameaça?

Um exploit de Prova de Conceito (PoC) zero-click, ameaçadoramente chamado “LDAP Nightmare”, foi lançado para o CVE-2024-49112. É capaz de causar a falha de qualquer Windows Server não corrigido (não limitado a controladores de domínio), exigindo apenas que o servidor DNS da vítima tenha conectividade com a Internet. Esta vulnerabilidade crítica do Windows Server representa uma ameaça significativa para redes empresariais, especialmente aquelas que dependem do Active Directory (AD) para autenticação e gestão. O exploit permite a Execução Remota de Código (RCE) sem autenticação, utilizando fraquezas nas comunicações do Protocolo de Acesso a Diretórios Leves (LDAP).

O fluxo do ataque PoC é o seguinte:

1. O atacante envia um pedido DCE/RPC à máquina servidora da vítima.
2. A vítima consulta o servidor DNS do atacante para obter informações.
3. O servidor DNS do atacante responde com o nome de host da máquina do atacante e a porta LDAP.
4. A vítima envia um pedido de difusão NBNS para encontrar o endereço IP do nome de anfitrião recebido (do atacante).
5. O atacante envia uma resposta NBNS com o seu endereço IP.
6. A vítima torna-se um cliente LDAP e envia um pedido CLDAP para a máquina do atacante.
7. O atacante envia um pacote de resposta de referência CLDAP com um valor específico que resulta na falha do LSASS e força o reinício do servidor da vítima.

Por que é isto digno de nota?

O exploit começa com consultas DNS SRV para localizar os servidores LDAP do domínio. Os atores maliciosos manipulam respostas NetBIOS e LDAP sem conexão (CLDAP) para ganhar uma posição na comunicação com o servidor alvo. Ao culminar com a entrega de respostas de referência LDAP maliciosas, o atacante pode causar a falha do LSASS (Serviço de Subsistema de Autoridade de Segurança Local), permitindo que os atacantes contornem a autenticação e executem código arbitrário remotamente, causando uma disrupção significativa em sistemas não corrigidos.

Qual é a exposição ou o risco?

A divulgação deste PoC de zero-clique destaca a séria ameaça que esta vulnerabilidade representa para ambientes empresariais. A falha do LSASS pode tornar os Controladores de Domínio inoperantes, interrompendo a autenticação e o acesso a recursos. Além disso, permite que atacantes com uma posição inicial escalem privilégios e lancem ataques adicionais.

As organizações que dependem fortemente do Active Directory estão em risco significativo, com potenciais consequências incluindo tempo de inatividade, violações de dados e movimento lateral por adversários.

Quais são as recomendações?

A Barracuda recomenda as seguintes ações para proteger o seu ambiente contra esta vulnerabilidade:

• Aplique imediatamente os patches Patch Tuesday de dezembro de 2024 da Microsoft.
• Monitore consultas DNS SRV suspeitas, respostas de referência CLDAP e chamadas DsrGetDcNameEx2 até que a correção esteja completa.
• Implemente a segmentação de rede para isolar sistemas e serviços críticos, limitando o impacto potencial de uma exploração.
• Realize auditorias de segurança e testes de penetração regulares para identificar e remediar vulnerabilidades no seu ambiente.

Referências

Para obter informações mais detalhadas sobre as recomendações, por favor visite os seguintes links:

• https://cybersecuritynews.com/poc-windows-ldap-rce-vulnerability/
• https://medium.com/@scottbolen/ldap-nightmare-zero-click-exploit-cve-2024-49112-rocks-windows-servers-patch-now-d8d1170140b1
• https://securityboulevard.com/2025/01/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112/

Este aviso de ameaça foi originalmente publicado em SmarterMSP.com.