CVE-2024-49112 是针对 Windows LDAP 中一个关键 RCE 漏洞的首个 PoC 漏洞利用程序，该程序发布后，Windows 环境中同一软件协议的另一个漏洞又引起了轩然大波。CVE-2024-49113 是一个新的拒绝服务（DoS）漏洞，也被称为 LDAPNightmare。一旦被利用，CVE-2024-49113 就会破坏 LDAP 服务，可能导致服务中断并引发 DoS 攻击。由于 LDAP 在 Windows 系统中的广泛使用，CVE-2024-49112 和 CVE-2024-49113 都被认为是关键漏洞。

检测 CVE-2024-49113 又名 LDAPNightmare 攻击尝试

作为企业网络中管理用户、计算机和资源的主要数据库，Active Directory 长期以来一直是组织基础架构的关键组成部分，因此成为网络犯罪分子的主要攻击目标。最近的估计显示，高达 90% 的网络攻击都涉及 Active Directory，因此安全专业人员必须能够访问可靠的检测内容，以迅速应对 LDAPNightmare 等威胁。

依靠 SOC Prime Platform 进行集体网络防御，以获得有关任何活动威胁的精心策划的检测内容，并以用于高级威胁检测和猎杀的完整产品套件为后盾。按下下面的 “探索检测 ”按钮，您可以立即访问针对 CVE-2024-49113 利用尝试的检测堆栈。

所有规则与 30 多种 SIEM、EDR 和数据湖技术兼容，映射到 MITRE ATT&CK® 框架，并丰富了详细的元数据，包括攻击时间表、威胁情报参考和审计配置提示。

CVE-2024-49113 又名 LDAPNightmare 分析

SonicWall Capture Labs 团队最近发现了一个名为 CVE-2024-49113 的新 DoS 漏洞，又名 LDAPNightmare，CVSS 得分为 7.5。

如果 Windows 10、11 和 Windows Server 操作系统没有更新补丁，未经身份验证的攻击者就有可能通过发送恶意 CLDAP（无连接轻量级目录访问协议）推荐响应来导致服务器崩溃。鉴于 LDAP 在 Active Directory 域控制器中的重要作用，该协议中的漏洞可能会带来重大安全风险。GitHub 上公开披露的 PoC 漏洞利用增加了 CVE-2024-49113 攻击的可能性。

除了 CVE-2024-49113 漏洞利用的风险外，攻击者还引入了更多威胁。趋势科技的研究人员还就 LDAPNightmare 的虚假 PoC 漏洞利用发出了警告，该漏洞旨在欺骗防御者下载并执行信息窃取恶意软件。

CVE-2024-49113 漏洞利用针对 DCE/RPC 机制访问易受攻击的功能。感染链从向 Windows 服务器发出 DCE/RPC 绑定请求开始，然后是包含客户端域名的 DsrGetDcNameEx2 请求。服务器随后执行 DNS SRV 查询，以确定目标 LDAP 服务器并建立连接。DNS 响应会提供 LDAP 服务器的主机名和端口，提示 Windows 服务器向目标实例发送 CLDAP 请求。

该漏洞源于 wldap32.dll 的 LdapChaseReferral 函数中的越界读取漏洞。当原始 LDAP 服务器无法满足请求时，该函数会重定向客户端。因此，利用 CVE-2024-49113 漏洞，远程攻击者就可以在服务器上造成拒绝服务。

要利用 LDAPNightmare 漏洞，目标必须是运行了 netlogon 的 Active Directory 域控制器。攻击者应具备网络访问权限，以对手拥有的域发送 DsrGetDcNameEx2 请求，控制 DNS 响应，并发送畸形引用，最终导致系统重启。

作为潜在的 CVE-2024-49113 缓解措施，为降低利用风险，微软于 2024 年 12 月 10 日发布了安全公告，提示用户将系统更新到最新的修补版本。如果无法立即应用更新，防御者还建议应用临时变通方法，如阻止域控制器的互联网连接或禁用来自不信任网络的入站 RPC。此外，建议企业设置检测，以监控可疑的 CLDAP 引用响应（具有特定恶意值）、异常的 DsrGetDcNameEx2 调用和异常的 DNS SRV 查询。用于集体网络防御的 SOC Prime Platform 为先进的组织提供了先进的产品套件，用于高级威胁检测、自动威胁捕猎和智能驱动的检测工程，以智能地超越网络威胁并提升针对漏洞利用的主动防御能力。