微軟修復(fù) Win10 / Win11 9.8 分高危漏洞，可導(dǎo)致服務(wù)器崩潰或執(zhí)行任意代碼

IT之家 1 月 2 日消息，科技媒體 cybersecuritynews 今天（1 月 2 日）發(fā)布博文，報道稱安全公司 SafeBreach Labs 發(fā)布了名為“LDAPNightmare”的概念驗(yàn)證（PoC）應(yīng)用，演示了 Windows 10、Windows 11 系統(tǒng)中存在的 9.8 分高危漏洞。

該漏洞追蹤編號為 CVE-2024-49112，CVSS 評分為 9.8 分，屬于“關(guān)鍵”級別，微軟已經(jīng)于 2024 年 12 月 10 日補(bǔ)丁星期二活動日，面向 Windows 10、Windows 11、Windows Server 系統(tǒng)發(fā)布累積更新，修復(fù)了該漏洞。

該漏洞存在于 Windows Lightweight Directory Access Protocol（LDAP）協(xié)議中，攻擊者發(fā)送特制 RPC 調(diào)用觸發(fā)惡意 LDAP 查詢，導(dǎo)致服務(wù)器崩潰或執(zhí)行任意代碼。

IT之家援引該媒體報道，附上 SafeBreach Labs 的 PoC 漏洞利用程序攻擊流程如下：

• 攻擊者向目標(biāo)服務(wù)器發(fā)送 DCE / RPC 請求。

• 目標(biāo)服務(wù)器向攻擊者的 DNS 服務(wù)器查詢信息。

• 攻擊者回復(fù)主機(jī)名和 LDAP 端口。

• 目標(biāo)服務(wù)器發(fā)送 NBNS 廣播定位攻擊者的主機(jī)名。

• 攻擊者回復(fù)其 IP 地址。

• 目標(biāo)服務(wù)器成為 LDAP 客戶端，向攻擊者的機(jī)器發(fā)送 CLDAP 請求。

• 攻擊者發(fā)送惡意引用響應(yīng)，導(dǎo)致 LSASS（本地安全機(jī)構(gòu)子系統(tǒng)服務(wù)）崩潰并重啟服務(wù)器。

微軟已在 2024 年 12 月的周二補(bǔ)丁更新中發(fā)布了針對此漏洞的補(bǔ)丁。建議所有受影響的組織：

• 立即應(yīng)用微軟的補(bǔ)丁。

• 在完成補(bǔ)丁程序安裝之前，密切監(jiān)視可疑的 DNS SRV 查詢、CLDAP 引用響應(yīng)和 DsrGetDcNameEx2 調(diào)用。

• 使用 SafeBreach Labs 在 GitHub 上發(fā)布的 PoC 工具測試環(huán)境，驗(yàn)證防御措施的有效性。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。