LDAPNightmare: un golpe fatal a los servidores Windows

En la red se publicó recientemente un exploit PoC para una vulnerabilidad en el Protocolo de Acceso Ligero a Directorios de Windows (LDAP), corregida en diciembre de 2024. La vulnerabilidad, identificada como CVE-2024-49113 (CVSS 7.5), puede causar una denegación de servicio (DoS). Su corrección fue parte de las actualizaciones de diciembre de Microsoft, junto con la CVE-2024-49112 (CVSS 9.8), una vulnerabilidad crítica de desbordamiento de enteros que permite la ejecución de código remoto.

Ambas vulnerabilidades fueron descubiertas por el investigador independiente Yuki Chen (@guhe120). El exploit PoC, denominado "LDAPNightmare" por los investigadores de SafeBreach Labs, puede colapsar un servidor Windows sin condiciones adicionales si el servidor DNS del controlador de dominio (DC) tiene acceso a Internet.

Para ejecutar el ataque, se utiliza una solicitud DCE/RPC enviada al servidor víctima. Esto provoca un fallo en el servicio Local Security Authority Subsystem Service (LSASS) y un reinicio del sistema. La explotación se realiza mediante un paquete CLDAP especialmente diseñado, donde el valor de "lm_referral" es diferente de cero.

Aún más alarmante es que la cadena de exploits podría modificarse para ejecutar código remoto si se ajustan los parámetros del paquete CLDAP.

En su notificación, Microsoft confirmó que la CVE-2024-49112 puede ser explotada a través de solicitudes RPC desde redes no confiables para ejecutar código arbitrario en el contexto del servicio LDAP. La explotación exitosa requiere el envío de una solicitud RPC específica que desencadene una consulta del controlador de dominio al dominio del atacante.

Para protegerse contra posibles ataques, Microsoft recomienda instalar las actualizaciones de seguridad de diciembre. Si no es posible actualizar de inmediato, se debe implementar la monitorización de respuestas CLDAP sospechosas, solicitudes DsrGetDcNameEx2 y solicitudes DNS SRV.