SafeBreach Labs đã phát hiện lỗ hổng zero-click trong Windows LDAP, được đặt tên “LDAP Nightmare” (CVE-2024-49112), với điểm CVSS 9.8. Lỗ hổng này cho phép thực thi mã từ xa (RCE), có thể làm sập các máy chủ Windows chưa vá, bao gồm Active Directory Domain Controllers (DCs).
Được công bố vào ngày 10/12/2024 trong Microsoft Patch Tuesday, lỗ hổng này ảnh hưởng đến LDAP, một thành phần quan trọng của Active Directory. SafeBreach đã phát triển một proof-of-concept (PoC) exploit để minh họa rủi ro.
PoC này cho thấy lỗ hổng có thể bị khai thác mà không cần xác thực, chỉ cần kết nối Internet, và có thể làm sập Local Security Authority Subsystem Service (LSASS) của máy chủ mục tiêu thông qua các truy vấn LDAP được chuẩn bị đặc biệt.
Quy trình khai thác bao gồm việc gửi yêu cầu DCE/RPC tới máy chủ mục tiêu, kích hoạt DNS SRV query chuyển hướng đến máy chủ LDAP giả mạo do kẻ tấn công kiểm soát. Sau đó, phản hồi LDAP được thao tác sẽ làm sập LSASS, buộc máy chủ khởi động lại.
SafeBreach khuyến nghị người dùng nên cập nhật bản vá của Microsoft ngay lập tức và theo dõi các hoạt động đáng ngờ như CLDAP referral responses hoặc DNS SRV queries. PoC tool kiểm tra lỗ hổng có sẵn trên GitHub.
