Barracuda full logo

Cybersecurity-Bedrohungshinweis: Zero-Click-RCE-Schwachstelle in Microsoft Windows

Themen:
8. Jan.. 2025
|

Eine kritische Schwachstelle im Microsoft Windows Lightweight Directory Access Protocol (LDAP) wurde entdeckt, identifiziert als CVE-2024-49112. Die Schwachstelle hat einen CVSS-Schweregrad von 9,8 und stellt eine erhebliche Bedrohung für Unternehmensnetzwerke dar. Lesen Sie diesen Cybersecurity-Bedrohungshinweis weiter, um zu erfahren, wie Sie Ihr Risiko mindern können.

Welcher Art ist die Bedrohung?

Ein Zero-Click-Proof-of-Concept (PoC)-Exploit mit dem bedrohlichen Namen „LDAP Nightmare“ wurde für CVE-2024-49112 veröffentlicht.  Es ist in der Lage, jeden ungepatchten Windows-Server (nicht nur Domänencontroller) zum Absturz zu bringen, wobei lediglich der DNS-Server des Opfers über eine Internetverbindung verfügen muss. Diese kritische Windows Server-Schwachstelle stellt eine erhebliche Bedrohung für Unternehmensnetzwerke dar, insbesondere für solche, die auf Active Directory (AD) für Authentifizierung und Management angewiesen sind. Der Exploit ermöglicht von Remote Code Execution (RCE) ohne Authentifizierung, indem Schwachstellen in der Kommunikation des Lightweight Directory Access Protocol (LDAP) ausgenutzt werden.

Der Ablauf des PoC-Angriffs ist wie folgt:

  1. Der Angreifer sendet eine DCE/RPC-Anfrage an den Server des Opfers.
  2. Das Opfer fragt den DNS-Server des Angreifers nach Informationen ab.
  3. Der DNS-Server des Angreifers antwortet mit dem Hostnamen des Angreifercomputers und dem LDAP-Port.
  4. Das Opfer sendet eine Broadcast-NBNS-Anfrage, um die IP-Adresse des empfangenen Hostnamens (des Angreifers) zu ermitteln.
  5. Der Angreifer sendet eine NBNS-Antwort mit seiner IP-Adresse.
  6. Das Opfer wird zu einem LDAP-Client und sendet eine CLDAP-Anfrage an den Computer des Angreifers.
  7. Der Angreifer sendet ein CLDAP-Verweisantwortpaket mit einem bestimmten Wert, was dazu führt, dass LSASS abstürzt und einen Neustart des Opferservers erzwingt.

Warum ist dies bemerkenswert?

Der Exploit beginnt mit DNS-SRV-Abfragen, um die LDAP-Server der Domäne zu finden. Bösartige Akteure manipulieren NetBIOS- und Connection-less-LDAP-Antworten (CLDAP), um sich in der Kommunikation mit dem Zielserver einen Zugang zu verschaffen. Indem der Angreifer bösartige LDAP-Verweisantworten liefert, kann er einen Absturz des LSASS (Local Security Authority Subsystem Service) herbeiführen, wodurch die Authentifizierung umgangen und beliebiger Code aus der Ferne ausgeführt werden kann, was zu erheblichen Störungen bei ungepatchten Systemen führt.

Wie hoch ist Risiko einer Exposition?

Die Veröffentlichung dieses Zero-Click-PoCs hebt die ernsthafte Bedrohung hervor, die diese Schwachstelle für Unternehmensumgebungen darstellt. Ein LSASS-Absturz kann Domänencontroller funktionsunfähig machen, was die Authentifizierung und den Zugriff auf Ressourcen stört. Darüber hinaus ermöglicht es Angreifern mit einem Fuß in der Tür, ihre Privilegien zu eskalieren und weitere Angriffe zu starten.

Unternehmen, die stark auf Active Directory angewiesen sind, sind einem erheblichen Risiko ausgesetzt, mit möglichen Folgen wie Ausfallzeiten, Datenschutzverletzungen und seitlichen Bewegungen durch Angreifer.

Welche Empfehlungen haben Sie?

Barracuda empfiehlt die folgenden Maßnahmen, um Ihre Umgebung vor dieser Schwachstelle zu schützen:

  • Wenden Sie sofort die Microsoft-Patches vom Patch Tuesday im Dezember 2024 an.
  • Überwachen Sie verdächtige DNS SRV-Abfragen, CLDAP-Verweisantworten und DsrGetDcNameEx2-Aufrufe, bis das Patching abgeschlossen ist.
  • Implementieren Sie eine Netzwerksegmentierung, um kritische Systeme und Dienste zu isolieren, um die potenziellen Auswirkungen eines Exploits zu begrenzen.
  • Führen Sie regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch, um Schwachstellen in Ihrer Umgebung zu identifizieren und zu beheben.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

 

Dieser Bedrohungshinweis wurde ursprünglich auf SmarterMSP.com veröffentlicht.

Verwandte Beiträge:
Microsoft Direct Send-Phishing-Angriffe erklärt
Microsoft Direct Send-Phishing-Angriffe erklärt
 Cybersecurity Threat Advisory: Microsoft SharePoint Zero-Day-Schwachstelle
Cybersecurity Threat Advisory: Microsoft SharePoint Zero-Day-Schwachstelle
 Cybersecurity-Bedrohungshinweis: Globaler Angriff auf Microsoft Exchange
Cybersecurity-Bedrohungshinweis: Globaler Angriff auf Microsoft Exchange
 Cybersecurity-Bedrohungshinweis: Zero-Day-Schwachstelle in Chrome
Cybersecurity-Bedrohungshinweis: Zero-Day-Schwachstelle in Chrome
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.