Windows LDAP Uzaktan Kod Yürütme Zafiyeti

Windows LDAP Uzaktan Kod Yürütme Zafiyeti

CVE-2024-49112, Windows LDAP İstemcisini etkileyen ve CVSS puanı 9.8 olan Kritik bir RCE güvenlik açığıdır. Bu güvenlik açığı, yetkisiz bir saldırganın sunucuya özel bir dizi LDAP çağrısı göndererek bir Active Directory Sunucusu üzerinde rastgele kod çalıştırmasına olanak tanıyabilir.

Microsoft, bu güvenlik açığını gidermenin yanı sıra tüm Active Directory sunucularının güvenilmeyen ağlardan gelen Uzak Yordam Çağrılarını (RPC'ler) kabul etmeyecek şekilde yapılandırılmasını önermektedir. Bu güvenlik açığının istismarının kolaylığı ve Active Directory ortamı için oluşturduğu önemli risk nedeniyle, hızlı bir şekilde hafifletilmesi ve yamalanması gerekmektedir.

Etkilenen Sistemler

-

IoC’ler

-

Çözüm Önerileri

• Güncellemeyi uygulayamayan bir müşterinin bu güvenlik açığına karşı korunmak için yapabileceği herhangi bir işlem var mı? DC'lerin internete erişmeyecek ya da güvenilmeyen ağlardan gelen RPC'ye izin vermeyecek şekilde yapılandırıldığından emin olun. Her iki hafifletme de sisteminizi bu güvenlik açığından koruyacak olsa da, her iki yapılandırmanın da uygulanması bu güvenlik açığına karşı etkili bir derinlemesine savunma sağlar.
• RPC ve LDAP SSL aracılığıyla harici olarak yayınlanır. Bu hafifletme harici ağ bağlantısı bağlamında ne anlama geliyor? Hafifletmelerin uygulanması, bir saldırganın bir kurbanı kötü amaçlı bir sunucuya bağlanması için başarılı bir şekilde ikna etme veya kandırma riskini azaltacaktır. Bir bağlantı kurulursa, saldırgan SSL üzerinden hedefe kötü niyetli istekler gönderebilir.

Tedbirler

-

CVE / CWE

CVE-2024-49112

Ek Bilgiler

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
• https://nvd.nist.gov/vuln/detail/CVE-2024-49112

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.