Nhóm nghiên cứu SafeBreach Labs vừa công bố PoC có tên LDAP Nightmare, khai thác lỗ hổng nghiêm trọng CVE-2024-49112 trong Windows. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Windows Server chưa được vá, bao gồm Windows Server 2019, 2022, và các bản khác. Đây là một lỗ hổng Zero-Click, cho phép tấn công từ xa mà không cần bất kỳ sự tương tác nào từ phía nạn nhân.
Chi Tiết Lỗ Hổng CVE-2024-49112
CVE-2024-49112 tồn tại trong cách Windows LDAP xử lý các yêu cầu không hợp lệ. Lỗ hổng này cho phép kẻ tấn công gửi các gói tin LDAP độc hại để thực thi mã độc hoặc làm gián đoạn hoạt động của máy chủ mục tiêu.
Cách Thức Tấn Công
- Tấn công qua LDAP:
- Kẻ tấn công sử dụng một máy chủ LDAP độc hại để khai thác lỗ hổng, gây ra tình trạng crash hoặc thực thi mã độc trên hệ thống.
- Tự động hóa với công cụ PoC:
Công cụ LDAP Nightmare do SafeBreach công khai giúp quá trình khai thác trở nên dễ dàng hơn, làm tăng nguy cơ lan rộng các cuộc tấn công.
Cách Thức Hoạt Động Của PoC LDAP Nightmare
Cài đặt và chạy công cụ:
- Tải công cụ PoC:
Tải xuống từ GitHub: LDAP Nightmare PoC. - Cấu hình:
- target_ip: Địa chỉ IP của máy chủ mục tiêu.
- domain_name: Tên miền do kẻ tấn công sở hữu (dùng cho máy chủ LDAP độc hại).
- Chạy công cụ:
python LdapNightmare.py <target_ip> –domain-name <domain_name>
Kích hoạt lỗ hổng:
Công cụ này thực hiện truy vấn LDAP từ máy chủ mục tiêu tới máy chủ LDAP độc hại, sau đó gửi phản hồi được độc hại để khai thác lỗ hổng.
Khuyến nghị
- Cập nhật bản vá:
Microsoft đã phát hành bản vá bảo mật cho CVE-2024-49112 vào tháng 1/2025. Người dùng cần cập nhật ngay để bảo vệ hệ thống. - Hạn chế truy cập LDAP:
- Chỉ cho phép lưu lượng LDAP giữa các máy chủ nội bộ.
- Chặn các kết nối LDAP từ bên ngoài qua tường lửa.
