点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
🌟简介
微软披露了其轻量级目录访问协议 (LDAP) 服务中存在的一个严重远程代码执行 (RCE) 漏洞,编号为 CVE-2024-49112。该漏洞能使未经身份验证的攻击者能够在 LDAP 服务上下文中执行任意代码,从而对企业网络构成严重风险。
受影响版本
Windows 10 Version 1809
10.0.0 至 10.0.17763.6659 的版本
Windows Server 2019
10.0.0 至 10.0.17763.6659 的版本
Windows Server 2022
10.0.0 至 10.0.20348.2966 的版本
10.0.0 至 10.0.20348.2908 的版本
Windows 11 version 22H2
10.0.0 至 10.0.22621.4602 的版本
Windows Server 2025
10.0.0 至 10.0.26100.2605 的版本
10.0.0 至 10.0.26100.2528 的版本
Windows Server 2016
10.0.0 至 10.0.14393.7606 的版本
Windows Server 2008 Service Pack 2
6.0.0 至 6.0.6003.23016 的 版本
Windows Server 2008 R2 Service Pack 1
6.1.0 至 6.1.7601.27467 的版本
Windows Server 2012
6.2.0 之前 6.2.9200.25222 的版本
Windows Server 2012 R2
6.3.0 之前 6.3.9600.22318 的版本
缓解措施
如果客户无法应用更新,是否可以采取任何措施来防范此漏洞?
确保将域控制器配置为不访问 Internet 或不允许来自不受信任的网络的入站 RPC。虽然任何一种缓解措施都可以保护您的系统免受此漏洞的影响,但应用这两种配置都可以针对此漏洞提供有效的深度防御。
RPC 和 LDAP 通过 SSL 在外部发布。在外部网络连接的上下文中,此缓解措施意味着什么?
应用缓解措施将降低攻击者成功说服或诱骗受害者连接到恶意服务器的风险。如果建立了连接,攻击者可能会通过 SSL 向目标发送恶意请求。
常见问题
客户需要执行哪些操作才能免受此漏洞的影响?
此漏洞会影响运行“安全更新”表中列出的受影响 Windows 版本的 LDAP 客户端和服务器。客户必须为其 Windows 版本应用最新的安全更新,才能防止此漏洞。
攻击者如何利用此漏洞?
成功利用此漏洞的未经身份验证的远程攻击者将获得在 LDAP 服务上下文中执行任意代码的能力。但是,成功利用取决于目标组件。
在利用 LDAP 服务器的域控制器的上下文中,要成功,攻击者必须向目标发送特制的 RPC 调用,以触发对攻击者域的查找,以便成功。
在利用 LDAP 客户端应用程序的上下文中,要成功,攻击者必须说服或诱骗受害者对攻击者的域执行域控制器查找或连接到恶意 LDAP 服务器。但是,未经身份验证的 RPC 调用不会成功。
攻击者能否利用连接到 Windows 11 的入站 RPC 隧道成功利用此漏洞?
是的,攻击者可以使用与域控制器的 RPC 连接来触发针对攻击者域的域控制器查找操作。
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
#
企业简介
赛克艾威 - 网络安全解决方案提供商
北京赛克艾威科技有限公司(简称:赛克艾威),成立于2016年9月,提供全面的安全解决方案和专业的技术服务,帮助客户保护数字资产和网络环境的安全。
安全评估|渗透测试|漏洞扫描|安全巡检
代码审计|钓鱼演练|应急响应|安全运维
重大时刻安保|企业安全培训
联系方式
电话|010-86460828
官网|https://sechub.com.cn
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号