LDAPNightmare : si les mises à jour du serveur du Patch Tuesday de décembre n’ont pas encore été installées, il est temps de le faire pour éviter les attaques DoS ou RCE sur les contrôleurs de domaine Active Directory, comme le montre l’exploit PoC.
Les chercheurs ont publié un exploit de validation de principe pour deux failles LDAP (Lightweight Directory Access Protocol) de Windows qui pourraient entraîner des pannes de serveur ou l’exécution de code à distance (RCE) sur les serveurs Windows.
« Les contrôleurs de domaine (DC) Active Directory sont considérés comme l’un des joyaux des réseaux informatiques d’organisation », ont noté les chercheurs de la société de sécurité SafeBreach, qui ont enquêté sur les failles. « Les vulnérabilités trouvées dans les centres de données sont généralement beaucoup plus critiques que celles trouvées dans les postes de travail habituels. La possibilité d’exécuter du code sur un contrôleur de domaine ou de planter des serveurs Windows affecte fortement la sécurité du réseau.
Les vulnérabilités, désignées CVE-2024-49112 (gravité 9,8 sur 10) et CVE-2024-49113 (gravité 7,5), ont été corrigées dans les mises à jour du Patch Tuesday de décembre 2024 de Microsoft, avec peu de détails. Cependant, SafeBreach a publié cette semaine une analyse détaillée des failles, ainsi qu’une preuve de concept de l’exploit CVE-2024-49113 qui, selon les chercheurs de la société, affecte tout serveur Windows non corrigé, et pas seulement les contrôleurs de domaine. La seule exigence est que le serveur DNS du DC victime dispose d’une connectivité Internet.
Il a surnommé l’exploit « LDAPNightmare ».
Bien que Microsoft n’ait pratiquement rien publié sur CVE-2024-49113, sa FAQ pour CVE-2024-49112 a fourni des informations supplémentaires sur la faille :
« Un attaquant distant non authentifié qui parviendrait à exploiter cette vulnérabilité aurait la possibilité d’exécuter du code arbitraire dans le contexte du service LDAP. Cependant, une exploitation réussie dépend du composant ciblé.
Dans le contexte de l’exploitation d’un contrôleur de domaine pour un serveur LDAP, pour réussir, un attaquant doit envoyer des appels RPC spécialement conçus à la cible pour déclencher une recherche du domaine de l’attaquant à effectuer pour réussir.
Dans le contexte de l’exploitation d’une application client LDAP, pour réussir, un attaquant doit convaincre ou tromper la victime afin qu’elle effectue une recherche de contrôleur de domaine pour le domaine de l’attaquant ou qu’elle se connecte à un serveur LDAP malveillant. Cependant, les appels RPC non authentifiés échoueraient.
Sur la base de ces informations, SafeBreach a orienté ses efforts vers les exécutables et les bibliothèques de liens dynamiques (DLL) qui implémentent la logique client LDAP, en choisissant lsass.exe ou l’une des DLL qu’il charge comme emplacement probable du bogue.
Après que les chercheurs ont isolé la DLL incriminée – widap32.dll – ils ont trouvé un moyen de tromper la victime pour qu’elle envoie une requête LDAP au domaine de l’attaquant et ont renvoyé une réponse qui a fait planter lsass.exe et l’ensemble du système d’exploitation. (Voir l’analyse pour plus de détails.)
Les chercheurs travaillent actuellement sur un autre exploit qui ne fait pas planter le système, mais permet plutôt le RCE.
Pour rendre la vie plus intéressante pour les professionnels de la sécurité de l’information, Microsoft a noté dans sa FAQ qu’un attaquant pourrait utiliser des tunnels RPC entrants pour exploiter les vulnérabilités. Il a recommandé aux clients qui ne peuvent pas appliquer immédiatement le correctif d’empêcher les contrôleurs de domaine d’accéder à Internet ou d’interdire les RPC entrants provenant de réseaux non fiables, notant que « l’application des mesures d’atténuation réduira le risque qu’un attaquant réussisse à convaincre ou à tromper une victime pour qu’elle se connecte à un serveur malveillant. Si une connexion est établie, l’attaquant pourrait envoyer des requêtes malveillantes à la cible via SSL.
Il ajoute cependant que « l’application des deux configurations fournit une défense efficace en profondeur contre cette vulnérabilité ».