Une vulnérabilité critique LDAP de Windows mise en lumière par SafeBreach

Le 1er janvier 2025, les chercheurs de SafeBreach Labs ont publié un exploit proof-of-concept (PoC), baptisé LDAPNightmare. Ce PoC illustre une faille critique dans le protocole Lightweight Directory Access Protocol (LDAP) de Windows, enregistrée sous l’identifiant CVE-2024-49113. Cette vulnérabilité met en péril la stabilité des serveurs Windows non corrigés, exposant les entreprises à des interruptions de service et des risques de sécurité accrus. Cet article détaille les mécanismes de cette faille, ses impacts, et les mesures nécessaires pour protéger vos infrastructures.

---

Une vulnérabilité avec un impact majeur : CVE-2024-49113

Cette faille affecte les serveurs Windows et surtout les contrôleurs de domaine  (DC) utilisant LDAP, un protocole couramment employé pour gérer les annuaires réseau. Lorsqu’elle est exploitée, un attaquant distant et non authentifié peut provoquer un déni de service (DoS), entraînant le crash du processus Local Security Authority Subsystem Service (LSASS). Ce dysfonctionnement force un redémarrage du serveur, perturbant gravement les activités des organisations ciblées.

Pourquoi cette faille est-elle dangereuse ?

Les failles de sécurité qui touchent les DC sont généralement bien plus graves que celles affectant des postes de travail classiques, offrant aux attaquants la possibilité de prendre le contrôle complet des agents et des serveurs sous ce domaine. De plus, puisqu’un DC est un élément critique du système d’une organisation, les mises à jour et les correctifs sont souvent plus complexes à exécuter. Cela donne à un attaquant une fenêtre de temps prolongée pour exploiter la vulnérabilité, augmentant ainsi les risques de compromission des données sensibles et des systèmes essentiels.

Mécanisme de l’exploitation : une attaque en sept étapes

L’exploit LDAPNightmare s’appuie sur une série d’interactions réseau sophistiquées entre un serveur victime et un attaquant. Voici le déroulement technique de l’attaque :

1. Envoi initial : L’attaquant envoie une requête DCE/RPC au serveur cible.
2. Requête DNS SRV : Le serveur victime demande une résolution DNS SRV pour un domaine contrôlé par l’attaquant.
3. Réponse malveillante : Le serveur DNS de l’attaquant renvoie un nom d’hôte contrôlé par lui, accompagné d’un port LDAP.
4. Requête NBNS : Le serveur victime utilise NetBIOS Name Service (NBNS) pour résoudre l’adresse IP associée au nom d’hôte malveillant.
5. Résolution de l’adresse IP : L’attaquant fournit une réponse contenant l’adresse IP de sa machine.
6. Connexion LDAP : Le serveur victime agit comme un client LDAP et contacte la machine de l’attaquant via CLDAP.
7. Crash de LSASS : L’attaquant envoie une réponse LDAP spécialement conçue, provoquant un crash du processus LSASS sur le serveur victime.

---

Conséquences potentielles pour les entreprises

Le crash de LSASS déclenche automatiquement un redémarrage du serveur pour des raisons de sécurité. Dans un environnement professionnel, une telle interruption peut :

• Propagation latérale dans le réseau, Cela ouvre la voie à des attaques supplémentaires, telles que le déploiement de ransomwares ou le sabotage d’autres services critiques.
• Perturbation opérationnelle.

Recommandations pour contrer la menace

Face à une telle vulnérabilité, il est crucial d’adopter une approche proactive pour protéger vos systèmes. Voici les mesures préconisées :

1. Appliquer les correctifs : Microsoft a publié des mises à jour pour résoudre CVE-2024-49113 et une faille connexe, CVE-2024-49112. Assurez-vous que vos serveurs sont à jour.
2. Tester vos systèmes : Utilisez le le PoC  LDAPNightmare publié par SafeBreach Labs, pour vérifier si vos serveurs sont exposés https://github.com/SafeBreach-Labs/CVE-2024-49113.

Source : https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112/