Công ty an ninh mạng SafeBreach đã công bố mã proof-of-concept (PoC) cho lỗ hổng từ chối dịch vụ (DoS) mang mã CVE-2024-49113 (CVSS: 7.8), ảnh hưởng đến Windows Lightweight Directory Access Protocol (LDAP).
Lỗ hổng này được Microsoft vá vào ngày 10 tháng 12 cùng với một lỗ hổng nghiêm trọng khác, CVE-2024-49112 (CVSS: 9.8), có thể cho phép kẻ tấn công thực thi mã từ xa (RCE). Dù chưa có bằng chứng về việc các lỗ hổng này bị khai thác trong thực tế, Microsoft nhấn mạnh rằng CVE-2024-49112 có thể bị lợi dụng để thực thi mã độc, và khuyến cáo các quản trị viên ngắt kết nối Domain Controllers khỏi internet để giảm thiểu rủi ro.
Tuy nhiên, SafeBreach cảnh báo rằng lỗ hổng DoS cũng tiềm ẩn nguy cơ lớn. Nếu kẻ tấn công khai thác, họ có thể làm sập máy chủ Windows chưa được vá bằng cách lợi dụng cấu hình máy chủ DNS của Domain Controller kết nối internet.
Lỗ hổng DoS xuất phát từ lỗi integer overflow trong wldap32.dll. Khi khai thác, quy trình này dẫn đến sự cố với tiến trình LSASS, buộc máy chủ khởi động lại. Với một số điều chỉnh nhỏ, mã khai thác này cũng có thể được sử dụng để thực hiện tấn công RCE.
SafeBreach khuyến nghị các quản trị viên áp dụng bản vá mới nhất càng sớm càng tốt. Bản cập nhật tháng 12 năm 2024 của Microsoft đã sửa hơn 70 lỗ hổng bảo mật, bao gồm cả các lỗ hổng trên.
