Aggiornamenti recenti Luglio 1st, 2025 3:44 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- In aumento i cyberattacchi dall’Iran: l’allarme delle agenzie di sicurezza americane
- Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
- Le stampanti multifunzione sono piene di bug! Uno espone la password di admin e Brother fa il record
- L’Iran lancia un attacco di spear-phishing contro obiettivi israeliani
- Windows 10: ancora un anno di aggiornamenti (quasi) gratis
Pubblicato un exploit che sfrutta una vulnerabilità di LDAP di Windows per causare un crash di sistema
I ricercatori di SafeBreach hanno pubblicato una PoC di un exploit che sfrutta una vulnerabilità di LDAP di Windows per causare un crash di sistema.
La vulnerabilità in questione, la CVE-2024-49113, è un bug di out-of-bound read risolto da Microsoft nel Patch Tuesday di dicembre. “Abbiamo dimostrato la gravità di questa vulnerabilità dimostrando che può essere usata per interrompere le funzionalità di server Windows non patchati” hanno affermato i ricercatori. Secondo l’analisi di Microsoft, il bug può essere sfruttato anche per l’esecuzione remota di codice.
Nella loro analisi i ricercatori confermano che, per sfruttare il bug di LDAP di Windows, un attaccante non ha bisogno di autenticarsi; inoltre, è sufficiente che il server DNS dei Domain Controller di Active Directory della vittima sia connesso a Internet per eseguire l’exploit.
Stando alla descrizione dell’exploit condivida da SafeBreach, l’attacco comincia con l’invio di una richiesta DCE/RPC al server della vittima; in seguito, il server vittima invia una query DNS di tipo SRV, in questo caso diretta per il dominio SafeBreachLabs.pro.
A questo punto il server DNS dell’attaccante risponde con l’hostname della macchina dell’attaccante e una porta LDAP, poi il target invia una richiesta NBNS (NetBIOS Name Service) in modalità broadcast per ottenere l’indirizzo IP associato all’hostname ricevuto. L‘attaccante risponde alla richiesta con il proprio indirizzo IP, convincendo il server target che l’IP è associato all’hostname cercato.
Adesso il server vittima si comporta come un client LDAP e invia una richiesta CLDAP (Connectionless LDAP) alla macchina dell’attaccante, connessione che può essere manipolata. Infine, l’attaccante invia una risposta CLDAP alterata con un valore specifico che sfrutta una vulnerabilità nel processo LSASS (Local Security Authority Subsystem Service) del server vittima. Il risultato è che LSASS va in crash, causando un riavvio forzato del server.
SafeBreach ha verificato l’exploit su Windows Server 2022 e Windows Server 2019, ma è probabile che la PoC funzioni su qualsiasi versione di Windows Server precedente alla patch.
“La vulnerabilità sfruttata dalla PoC di SafeBreach Labs riguarda una tecnologia ampiamente utilizzata nelle reti aziendali e questa falla potrebbe aiutare gli aggressori a propagarsi in modo più semplice ed efficace” avvertono i ricercatori; per questo motivo, è essenziale aggiornare il prima possibile i server vulnerabili con la patch ufficiale.
Condividi l'articolo
CERT-AGID 28 dicembre – 3 gennaio: Poste Italiane e Intesa Sanpaolo sotto attacco
Normative di cybersecurity: non uno spauracchio, ma un'opportunità per migliorare la protezione
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
In aumento i cyberattacchi dall’Iran: l’allarme... In un documento congiunto rilasciato ieri, la CISA,... -
Una vulnerabilità di Open VSX Registry mette in pericolo... I ricercatori di Koi Security hanno individuato una... -
Le stampanti multifunzione sono piene di bug! Uno espone la... Durante un processo di analisi di vulnerabilità zero-day,... -
L’Iran lancia un attacco di spear-phishing contro... I ricercatori di Check Point Research hanno individuato una... -
Windows 10: ancora un anno di aggiornamenti (quasi) gratis Il 14 ottobre il supporto tecnico e di sicurezza per...
Ransomware: la serie
No posts found.