PoC Exploit Released For Critical Windows LDAP RCE Vulnerability
PoC Exploit Released For Critical Windows LDAP RCE Vulnerability
The CVE-2024-49112 vulnerability in Windows LDAP allows remote code execution on unpatched Domain Controllers, as a zero-click exploit
gbhackers.com
- 취약점 개요
- CVE-2024-49112는 Windows LDAP 서비스의 원격 코드 실행(RCE) 취약점으로, wldap32.dll 라이브러리에 존재
- 제로-클릭(Zero-click) 방식으로 동작하며, 사용자 상호작용 없이 악성 LDAP 요청을 통해 취약점을 악용 가능
- 공격자는 도메인 컨트롤러(DC)에 원격에서 접근하여 메모리 손상을 유발하고, 시스템 불안정을 초래하거나 코드 실행을 수행 가능
- 공격 흐름
- 공격자는 DsrGetDcNameEx2 함수 호출을 통해 악성 LDAP 요청을 생성
- DomainName 매개변수를 공격자가 제어하는 도메인으로 설정
- 피해자의 DC는 해당 도메인에 대한 DNS 쿼리를 수행
- 공격자는 SRV 레코드를 사용해 자신의 DC를 지목하도록 DNS를 조작
- 피해자의 DC는 공격자의 DC로 LDAP 요청을 전송
- 공격자는 LdapChaseReferral 취약점을 이용해 악성 LDAP 응답 패킷을 생성
- 응답 패킷에서 특정 값의 길이 필드를 조작하여 lm_referral 변수를 활성화
- lm_referral이 비어 있지 않은 상태에서 NULL 포인터 역참조를 유발해 메모리 손상을 일으킴
- 최종적으로 원격 코드 실행 가능
- 공격자는 DsrGetDcNameEx2 함수 호출을 통해 악성 LDAP 요청을 생성
- 취약점의 영향
- 도메인 컨트롤러를 포함한 Windows Server 전반에 영향을 미침
- 공격자는 피해자의 DC에 초기 접근 권한을 획득하고, 이를 통해 중요한 데이터와 시스템을 손상 가능
- 취약점이 악용되면 Active Directory와 같은 핵심 인프라를 위협
- 보안 권고
- 패치 적용: Microsoft의 보안 업데이트를 즉시 적용해 취약점을 제거
- LDAP 트래픽 모니터링: 의심스러운 LDAP 참조와 시스템 호출을 탐지할 수 있는 보안 솔루션 도입
- 네트워크 보안 강화: 신뢰할 수 없는 DNS 서버 및 외부 LDAP 서버와의 통신 차단
- PoC 분석 및 방어: 공개된 PoC를 분석하고 방어 전략에 활용
- 결론
- CVE-2024-49112는 심각한 보안 취약점으로, 즉각적인 조치가 필요
- 제로-클릭 공격의 특성상 사용자 개입 없이 취약점이 악용될 수 있으므로, 방어 체계를 강화하고 최신 패치를 유지해야 함
- 조직의 LDAP 트래픽을 정기적으로 검토하여 비정상 활동을 사전에 탐지하는 것이 중요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 7-Zip 0-Day 취약점 주장 논란: 사실 여부와 보안 권고 (0) | 2025.01.14 |
|---|---|
| Trend Micro Apex One 취약점: 권한 상승 공격 가능성 (0) | 2025.01.13 |
| Azure Airflow의 Kubernetes RBAC 오구성으로 인한 클러스터 취약점 노출 (0) | 2025.01.13 |
| 마이크로소프트 애저 다중인증 매커니즘에서 심각한 우회 취약점 발견돼 (0) | 2025.01.02 |
| Spring Framework 경로 이동 취약점(CVE-2024-38819) PoC 공개 (0) | 2025.01.01 |