Aggiornamenti recenti Gennaio 3rd, 2025 3:03 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Pubblicato un exploit che sfrutta una vulnerabilità di LDAP di Windows per causare un crash di sistema
- Normative di cybersecurity: non uno spauracchio, ma un’opportunità per migliorare la protezione
- Crescono gli attacchi zero-day nei dispositivi edge di rete
- Sempre più aziende redigono i report sugli incidenti di sicurezza, ma non sono completi
- CERT-AGID 21 – 27 dicembre: anche gli hacker festeggiano il Natale
Pubblicato un exploit che sfrutta una vulnerabilità di LDAP di Windows per causare un crash di sistema
I ricercatori di SafeBreach hanno pubblicato una PoC di un exploit che sfrutta una vulnerabilità di LDAP di Windows per causare un crash di sistema.
La vulnerabilità in questione, la CVE-2024-49113, è un bug di out-of-bound read risolto da Microsoft nel Patch Tuesday di dicembre. “Abbiamo dimostrato la gravità di questa vulnerabilità dimostrando che può essere usata per interrompere le funzionalità di server Windows non patchati” hanno affermato i ricercatori. Secondo l’analisi di Microsoft, il bug può essere sfruttato anche per l’esecuzione remota di codice.
Nella loro analisi i ricercatori confermano che, per sfruttare il bug di LDAP di Windows, un attaccante non ha bisogno di autenticarsi; inoltre, è sufficiente che il server DNS dei Domain Controller di Active Directory della vittima sia connesso a Internet per eseguire l’exploit.
Stando alla descrizione dell’exploit condivida da SafeBreach, l’attacco comincia con l’invio di una richiesta DCE/RPC al server della vittima; in seguito, il server vittima invia una query DNS di tipo SRV, in questo caso diretta per il dominio SafeBreachLabs.pro.
A questo punto il server DNS dell’attaccante risponde con l’hostname della macchina dell’attaccante e una porta LDAP, poi il target invia una richiesta NBNS (NetBIOS Name Service) in modalità broadcast per ottenere l’indirizzo IP associato all’hostname ricevuto. L‘attaccante risponde alla richiesta con il proprio indirizzo IP, convincendo il server target che l’IP è associato all’hostname cercato.
Adesso il server vittima si comporta come un client LDAP e invia una richiesta CLDAP (Connectionless LDAP) alla macchina dell’attaccante, connessione che può essere manipolata. Infine, l’attaccante invia una risposta CLDAP alterata con un valore specifico che sfrutta una vulnerabilità nel processo LSASS (Local Security Authority Subsystem Service) del server vittima. Il risultato è che LSASS va in crash, causando un riavvio forzato del server.
SafeBreach ha verificato l’exploit su Windows Server 2022 e Windows Server 2019, ma è probabile che la PoC funzioni su qualsiasi versione di Windows Server precedente alla patch.
“La vulnerabilità sfruttata dalla PoC di SafeBreach Labs riguarda una tecnologia ampiamente utilizzata nelle reti aziendali e questa falla potrebbe aiutare gli aggressori a propagarsi in modo più semplice ed efficace” avvertono i ricercatori; per questo motivo, è essenziale aggiornare il prima possibile i server vulnerabili con la patch ufficiale.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e... -
Crescono gli attacchi zero-day nei dispositivi edge di rete Negli ultimi anni gli attacchi zero-day nei dispositivi... -
Sempre più aziende redigono i report sugli incidenti di... Nonostante gli sforzi per redigere e consegnare i report... -
Gli hacker nord-coreani hanno rubato 1.3 miliardi di... Tempo di bilanci di fine anno anche per il mondo della... -
Rapporto CSIRT di novembre: aumentano le vittime e tornano... Ieri il CSIRT ha pubblicato il nuovo rapporto mensile sullo...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Pubblicato un exploit che sfrutta una vulnerabilità di... I ricercatori di SafeBreach hanno pubblicato una PoC di... -
Crescono gli attacchi zero-day nei dispositivi edge di rete Negli ultimi anni gli attacchi zero-day nei dispositivi...
-
CERT-AGID 21 – 27 dicembre: anche gli hacker festeggiano... Probabilmente, la settimana scorsa, anche gli hacker sono... -
Un bug di Windows 11 blocca gli aggiornamenti di sicurezza Un bug di Windows 11 sta causando problemi agli... -
Gli hacker nord-coreani hanno rubato 1.3 miliardi di... Tempo di bilanci di fine anno anche per il mondo...
Ransomware: la serie
No posts found.
