Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

Microsoft Windows Zero Click RCE Vulnerabilidad

Se ha descubierto una vulnerabilidad critica de protocolo ligero de acceso a directorios (LDAP) de Microsoft Windows, identificada como CVE-2024-49112. La falla tiene una puntuación de 9.8 de gravedad CVSS, lo que representa una amenaza importante para las redes empresariales.

¿Cuál es la amenaza?

Se ha publicado un xploit de prueba de concepto (PoC) sin necesidad de hacer clic, llamado amenazadoramente “LDAP Nightmare”, para CVE-2024-49112. Es capaz de bloquear cualquier servidor Windows sin parches (no limitado a los controladores de dominio), y solo requiere que el servidor DNS de la víctima tenga conectividad a Internet. Esta vulnerabilidad critica de Windows Server plantea una amenaza importante para las redes empresariales, especialmente aquellas que dependen de Active Directory (AD) para la autenticación y la gestión. El xploit permite la ejecución remota de código (RCE) sin autenticación utilizando debilidades en las comunicaciones del Protocolo ligero de acceso a directorios (LDAP).

El flujo de ataque PoC es el siguiente:

  1. El atacante envía una solicitud DCE/RPC a la maquina servidor de la víctima.
  2. La victima consulta al servidor DNS del atacante para obtener información.
  3. El servidor DNS del atacante responde con el nombre de host de la maquina del atacante y el puerto LDAP.
  4. La victima envía una solicitud de NBNS de difusión para encontrar la dirección IP del nombre de host recibido (del atacante).
  5. El atacante envía una respuesta NBNS con su dirección IP.
  6. La victima se convierte en un cliente LDAP y envía una solicitud CLDAP a la máquina del atacante.
  7. El atacante envía un paquete de respuesta de referencia CLDAP con un valor especifico que hace que LSASS se bloquee y fuerce el reinicio del servidor de la víctima.

¿Por qué es de relevancia?

El xploit comienza con consultas DNS SRV para localizar los servidores LDAP del dominio. Los actores maliciosos manipulan la respuesta NetBIOS y LDAP sin conexión (CLDAP) para ganar terreno en la comunicación con el servidor de destino. Al culminar con la entrega de respuestas de referencia LDAP maliciosas, el atacante puede provocar que el LSASS (Servicio de subsistema de autoridad de seguridad local) se bloquee, lo que permite a los atacantes eludir la autenticación y ejecutar código arbitrario de forma remota, lo que provoca una interrupción significativa en los sistemas sin parches.

¿Cuál es el riesgo?

La publicación de esta prueba de concepto sin necesidad de hacer clic destaca la grave amenaza que esta vulnerabilidad supone para los entornos empresariales. La falla de LSASS puede dejar inoperativas los controladores de dominio, lo que interrumpe la autenticación y el acceso a los recursos. Además, permite a los atacantes con un punto de apoyo aumentar los privilegios y lanzar más ataques.

Las organizaciones que dependen en gran medida de Active Directory corren un riesgo importante, con posibles consecuencias que incluyen tiempo de inactividad, robo de datos y movimientos laterales por parte de los atacantes.

Recomendaciones

Se recomienda realizar las siguientes acciones para solucionar las vulnerabilidades:

  • Aplique inmediatamente los parches del martes de parches de diciembre de 2024 de Microsoft.
  • Supervise las consultas de DNS SRV, las respuestas de referencia de CLDAP y las llamadas DsrGetDcNameEx2 sospechosas hasta que se complete la aplicación de los parches.
  • Implemente la segmentación de la red para aislar los sistemas y servicios críticos limitando así el posible impacto de una vulnerabilidad.
  • Realice auditorias de seguridad y pruebas de penetración periódicas para identificar y remediar las vulnerabilidades en su entorno.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

JR

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.