漏洞攻擊
CVE-2024-49112 和 CVE-2024-49113 漏洞簡介
本文概要說明 CVE-2024-49112 和 CVE-2024-49113 兩個漏洞,並提供企業所需的資訊來防範其潛在攻擊。
2024 年 12 月,獨立資安研究員 Yuki Chen 發現了兩個 Windows 輕量型目錄存取協定 (Lightweight Directory Access Protocol,簡稱 LDAP) 的漏洞:第一個是 CVE-2024-49112,這是一個 CVSS 評分 9.8 的遠端程式碼執行 (RCE) 漏洞;第二個是 CVE-2024-49113,這是一個 CVSS 評分 7.5 的阻斷服務 (DoS) 漏洞。
本文概要說明這兩個漏洞,並提供 IT 和 SOC 人員所需的防範資訊。
駭客如何攻擊 CVE-2024-49112 漏洞
根據 Microsoft 的說法,遠端未認證的駭客一旦成功攻擊 CVE-2024-49112 漏洞,就能在 LDAP 服務環境下執行任意程式碼。但駭客攻擊的成功與否,取決於攻擊所瞄準的元件。
要成功攻擊網域控制器的 LDAP 伺服器,駭客必須對目標裝置發出特製的「遠端程序呼叫」(Remote Procedure Call,簡稱 RPC) 來觸發它查詢駭客所在的網域。
要成功攻擊 LDAP 用戶端應用程式,駭客必須誘騙受害者向網域控制器查詢駭客所在的網域,或讓受害者連上惡意的 LDAP 伺服器。不過,未認證的 RPC 呼叫是無法成功的。
駭客如何攻擊 CVE-2024-49113 漏洞
SafeBreach Labs 已針對 CVE-2024-49113 漏洞 (代號 LDAPNightmare) 發布了一個概念驗證 (PoC) 攻擊手法。此 PoC 的設計是要讓任何未修補的 Windows 伺服器當機,但前提是受害網域控制器的 DNS 伺服器必須連上網際網路。
攻擊流程一開始是先發送 DCE/RPC 請求給受害伺服器,造成「本機安全認證子系統服務 」(Local Security Authority Subsystem Service,簡稱 LSASS) 在駭客發送一個特製的「無連線輕量型目錄存取協定」(Connectionless Lightweight Directory Access Protocol,簡稱 CLDAP) 轉介回應封包時當機,並強制重新開機。
此外,SafeBreach Labs 也發現,相同的漏洞攻擊程序也可用來攻擊 CVE-2024-49112,只要修改 CLDAP 封包就能實現 RCE。
哪些 Windows 版本受到影響
這兩個漏洞影響了多個 Windows 版本。 請參閱以下的 Microsoft Security Response Center (MSRC) 公告頁面來了解受影響的版本清單:
- CVE-2024-49112 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
- CVE-2024-49113 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113
如何防範 CVE-2024-49112 和 CVE-2024-49113 漏洞攻擊
這兩個漏洞在 Microsoft 在 2024 年 12 月的每月定期更新 (Patch Tuesday) 當中都已修補,企業應立即套用這些修補更新來防範駭客利用這些漏洞入侵系統。
趨勢科技已發布下列防護規則與過濾規則來協助防範潛在的漏洞攻擊:
Trend Micro™ Deep Discovery™ Inspector 規則
5297: CVE-2024-49113 - WINDOWS LDAP DOS EXPLOIT - CLDAP(RESPONSE)
Trend Vision One™ – Endpoint Security、Cloud One™ - Workload Security 和 Deep Security™ 規則
1012240 - Microsoft Windows Active Directory Denial of Service Vulnerability (CVE-2024-49113) for DS/V1SWP
Trend Micro TippingPoint™ 及 Cloud One™ - Network Security 過濾規則
45267: LDAP: Microsoft Windows Lightweight Directory Access Protocol Denial of Service Vulnerability
此外,趨勢科技客戶還可利用 Trend Vision One™ 來隨時掌握這些漏洞的最新資訊。Trend Vision One 提供了多種漏洞攻擊後續偵測及矯正技術,客戶可利用這些技術來調查並協助矯正環境內的潛在威脅。如需更多資訊,請參閱趨勢科技的知識庫文章。
此外,趨勢科技客戶可從 Trend Vision One 內部取得各種情報與威脅洞見。Threat Insights 可幫助客戶在威脅發生之前便提前掌握,並對新興的威脅預先做好準備。這些洞見提供了有關駭客、惡意活動及駭客技巧的完整資訊。趨勢科技客戶可至以下連結取得有關 LDAPNightmare PoC 這項新興威脅的報告: LDAP 重大漏洞 (CVE-2024-49113) PoC 發布。
此外,企業應考慮採取以下最佳實務原則來防範漏洞攻擊:
- 修補管理:定期更新並修補軟體、作業系統及應用程式,是防止漏洞遭到攻擊最有效的方法。
- 網路分割:將重要的網段與一般網路隔離,可降低漏洞攻擊的衝擊。
- 定期執行資安稽核:執行資安稽核與漏洞評估有助於發掘並解決基礎架構的漏洞,避免它們遭到攻擊。
- 事件回應計畫:建立、測試及維護一套事件回應計畫,有助於企業迅速有效地回應資安事件與漏洞攻擊嘗試。