Windows の脆弱性 LDAPNightmare CVE-2024-49113:PoC と技術的詳細が公開

LDAPNightmare, a PoC exploit targets Windows LDAP flaw CVE-2024-49113

2025/01/03 SecurityAffairs — Windows LDAP (Lightweight Directory Access Protocol) に存在する脆弱性 CVE-2024-49113 (CVSS 7.5) は、研究者 Yuki Chen により発見され、すでに修正されているものだ。この LDAPNightmare と命名された脆弱性の悪用により、サービス拒否状態が生じる可能性がある。2024年12月10日 の Microsoft Patch Tuesday で、 Yuki Chen が公表し2つの深刻な LDAP 脆弱性には、CVE-2024-49112 (CVSS 9.8) と CVE-2024-49113 がある。

そして、脆弱性 CVE-2024-49113 に対する PoC エクスプロイトが、SafeBreach Labs の研究者たちにより公開された。このエクスプロイトは、インターネット接続機能を持つ、Windows Server をクラッシュさせるものであり、Domain Controller だけが対象というものではないと、彼らは述べている。

SafeBreach のレポートでは、「SafeBreach Labs は、CVE-2024-49113 の PoC エクスプロイトを開発した。このエクスプロイトは、パッチが適用されていない Windows Server (Domain Controller に限らない) をクラッシュさせる。その前提条件となるのは、被害者の Domain Controller の DNS サーバが、インターネット接続を持っていることだけだ」と説明されている。

この攻撃では、攻撃者が被害者のサーバーを操作して DNS および LDAP リクエストを送信する。そして、巧妙に細工された LDAP レスポンスにより、LSASS プロセスをクラッシュさせ、サーバを再起動させる。

研究者たちが考案した攻撃の手順は、以下の通りである:

  • 攻撃者は、特定の値を含む CLDAP 参照レスポンス・パケットを送信し、LSASS をクラッシュさせ、被害者のサーバを再起動させる。
  • 被害者のサーバ・マシンに、DCE/RPC リクエストを送信する。
  • 被害者は SafeBreachLabs.pro に関する DNS SRV クエリを送信するように誘導される。
  • 攻撃者の DNS サーバが、攻撃者のホスト名マシンと LDAP ポートで応答する。
  • 被害者は、受信したホスト名 (攻撃者のもの) の IP アドレスを見つけるために、ブロードキャスト NBNS リクエストを送信する。
  • 攻撃者は、自身の IP アドレスを記載した NBNS 応答を送信する。
  • 被害者は LDAP クライアントとなり、攻撃者のマシンに CLDAP リクエストを送信する。

リモートの攻撃者が同じ手法で CLDAP パケットを変更することで、脆弱なサーバ上での任意のコード実行を達成する可能性があると、研究者たちは推測している。

SafeBreach は、以下のように結論付けている。

SafeBreach — 我々の調査の目的は、LDAP の脆弱性 CVE-2024-49113 が悪用される、可能性の有無を確認することである。この調査で証明されたのは、Domain Controller に対して悪用される可能性があるだけではなく、パッチが適用されていない Windows Server にも影響を与えるということだ。

さらに、これは上記のセクションで述べたように、テストを目的とする PoC エクスプロイトも公開した。それにより、近い将来において、CVE-2024-49112 の悪用は容易になるだろう。ユーザーに推奨するのは、前述の2つの脆弱性に対するパッチ適用を優先することである — SafeBreach

ユーザー組織に対して強く推奨されるのは、Microsoft のパッチを直ちに適用することである。Domain Controller と Windows サーバに対するパッチ適用は、きわめて重要な作業であるため、慎重に進める必要がある。また、パッチが適用されるまでの期間に推奨されるのは、疑わしい CLDAP 参照応答/DsrGetDcNameEx2 コール/DNS SRV クエリの検出を実装することである。

LDAP 脆弱性 CVE-2024-49112 と CVE-2024-49113 ですが、前者に関しては 2024/12/16 の「Windows LDAP の脆弱性 CVE-2024-49112 (CVSS 9.8) が FIX:RCE にいたる恐れ」でお伝えしています。そして、後者の CVE-2024-49113 に対して、PoC エクスプロイトが提供されました。ご利用のチームは、ご注意ください。よろしければ、LDAP で検索も、ご参照ください。