Aggiornamenti recenti Agosto 29th, 2025 5:25 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Migrazione a Windows 11: le aziende devono affrontare molte sfide, ma qualsiasi ritardo è pericoloso
- Android, più sicurezza con la verifica dell’identità sviluppatori
- IoT, i dispositivi connessi sono ancora troppo esposti alle minacce: l’allarme di ACN
- File Linux usati per furto di dati e spionaggio: la campagna di APT36
- CERT-AGID 16-22 agosto: registrato il primo abuso di Action1
Pubblicato un exploit che sfrutta una vulnerabilità di LDAP di Windows per causare un crash di sistema
I ricercatori di SafeBreach hanno pubblicato una PoC di un exploit che sfrutta una vulnerabilità di LDAP di Windows per causare un crash di sistema.
La vulnerabilità in questione, la CVE-2024-49113, è un bug di out-of-bound read risolto da Microsoft nel Patch Tuesday di dicembre. “Abbiamo dimostrato la gravità di questa vulnerabilità dimostrando che può essere usata per interrompere le funzionalità di server Windows non patchati” hanno affermato i ricercatori. Secondo l’analisi di Microsoft, il bug può essere sfruttato anche per l’esecuzione remota di codice.
Nella loro analisi i ricercatori confermano che, per sfruttare il bug di LDAP di Windows, un attaccante non ha bisogno di autenticarsi; inoltre, è sufficiente che il server DNS dei Domain Controller di Active Directory della vittima sia connesso a Internet per eseguire l’exploit.
Stando alla descrizione dell’exploit condivida da SafeBreach, l’attacco comincia con l’invio di una richiesta DCE/RPC al server della vittima; in seguito, il server vittima invia una query DNS di tipo SRV, in questo caso diretta per il dominio SafeBreachLabs.pro.
A questo punto il server DNS dell’attaccante risponde con l’hostname della macchina dell’attaccante e una porta LDAP, poi il target invia una richiesta NBNS (NetBIOS Name Service) in modalità broadcast per ottenere l’indirizzo IP associato all’hostname ricevuto. L‘attaccante risponde alla richiesta con il proprio indirizzo IP, convincendo il server target che l’IP è associato all’hostname cercato.
Adesso il server vittima si comporta come un client LDAP e invia una richiesta CLDAP (Connectionless LDAP) alla macchina dell’attaccante, connessione che può essere manipolata. Infine, l’attaccante invia una risposta CLDAP alterata con un valore specifico che sfrutta una vulnerabilità nel processo LSASS (Local Security Authority Subsystem Service) del server vittima. Il risultato è che LSASS va in crash, causando un riavvio forzato del server.
SafeBreach ha verificato l’exploit su Windows Server 2022 e Windows Server 2019, ma è probabile che la PoC funzioni su qualsiasi versione di Windows Server precedente alla patch.
“La vulnerabilità sfruttata dalla PoC di SafeBreach Labs riguarda una tecnologia ampiamente utilizzata nelle reti aziendali e questa falla potrebbe aiutare gli aggressori a propagarsi in modo più semplice ed efficace” avvertono i ricercatori; per questo motivo, è essenziale aggiornare il prima possibile i server vulnerabili con la patch ufficiale.
Condividi l'articolo
CERT-AGID 28 dicembre – 3 gennaio: Poste Italiane e Intesa Sanpaolo sotto attacco
Normative di cybersecurity: non uno spauracchio, ma un'opportunità per migliorare la protezione
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto...
-
Android, più sicurezza con la verifica... Google ha deciso di aumentare la sicurezza dei dispositivi... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
-
File Linux usati per furto di dati e spionaggio: la... Il gruppo pakistano APT36, noto anche come Transparent... -
CERT-AGID 16-22 agosto: registrato il primo abuso di La scorsa settimana il CERT-AGID ha rilevato 81 campagne...
Ransomware: la serie
No posts found.