Barracuda full logo

Avis sur les menaces à la cybersécurité : vulnérabilité d’exécution de code à distance sans interaction de Microsoft Windows

Thèmes:
8 janv. 2025
|

Une vulnérabilité critique du protocole Lightweight Directory Access Protocol (LDAP) de Microsoft Windows a été découverte, identifiée sous le nom CVE-2024-49112. La faille a un score de gravité CVSS de 9,8, ce qui représente une menace majeure pour les réseaux d'entreprise. Continuez à lire cet avis sur les menaces à la cybersécurité pour découvrir comment atténuer votre risque.

Nature de la menace

Un exploit de preuve de concept (PoC) sans interaction, nommé très sérieusement « LDAP Nightmare », a été publié pour la CVE-2024-49112.  Il est capable de faire planter n'importe quel serveur Windows non patché (y compris les contrôleurs de domaine), à condition que le serveur DNS de la victime soit connecté à Internet. Cette vulnérabilité critique de Windows Server constitue une menace importante pour les réseaux d'entreprise, en particulier ceux qui s'appuient sur Active Directory (AD) pour l'authentification et le management. L'exploit permet l'exécution de code à distance (RCE) sans authentification en exploitant des failles dans les communications du protocole LDAP (Lightweight Directory Access Protocol).

Le fonctionnement de l'attaque PoC :

  1. Les pirates envoient une requête DCE/RPC au serveur des victimes.
  2. La victime interroge le serveur DNS du pirate pour obtenir des informations.
  3. Le serveur DNS des pirates répond avec le nom d'hôte de la machine des pirates et le port LDAP.
  4. La victime envoie une requête de diffusion NBNS pour trouver l'adresse IP du nom d'hôte reçu (celui du pirate).
  5. Le pirate envoie une réponse NBNS avec son adresse IP.
  6. La victime devient un client LDAP et envoie une requête CLDAP à la machine du pirate.
  7. Le pirate envoie un paquet de réponse de référence CLDAP avec une valeur spécifique, ce qui entraîne le plantage de LSASS et force le redémarrage du serveur victime.

Pourquoi est-ce important ?

Tout commence par des requêtes DNS SRV pour localiser les serveurs LDAP du domaine. Les pirates manipulent les réponses NetBIOS et LDAP sans connexion (CLDAP) pour s'implanter dans la communication avec le serveur cible. En aboutissant à l'envoi de réponses malveillantes de référence LDAP, le pirate peut provoquer une panne du service LSASS (Local Security Authority Subsystem Service), ce qui permet aux pirates de contourner l'authentification et d'exécuter du code arbitraire à distance, provoquant ainsi des perturbations importantes sur les systèmes non corrigés.

Quel est le risque ou le degré d'exposition ?

La diffusion de ce PoC sans interaction met en évidence la menace sérieuse que cette vulnérabilité fait peser sur les environnements d'entreprise. La défaillance du LSASS peut rendre les contrôleurs de domaine inopérants, perturbant ainsi l'authentification et l'accès aux ressources. De plus, cela permet aux pirates ayant un point d'appui d'escalader les privilèges et de lancer d'autres attaques.

Les organisations qui dépendent fortement d'Active Directory sont exposées à un risque significatif, avec des conséquences potentielles telles que des interruptions de service, des violations de données et des mouvements latéraux par des adversaires.

Quelles sont les recommandations ?

Barracuda recommande les mesures suivantes pour protéger votre environnement de cette vulnérabilité :

  • Appliquez immédiatement les correctifs Patch Tuesday de décembre 2024 de Microsoft.
  • Surveillez les requêtes DNS SRV et les réponses de référence CLDAP suspectes ainsi que les appels DsrGetDcNameEx2 suspects jusqu'à ce que le correctif soit appliqué.
  • Mettez en œuvre la segmentation du réseau pour isoler les systèmes et services critiques afin de limiter l'impact potentiel d'un exploit.
  • Effectuez régulièrement des audits de sécurité et des tests de pénétration pour identifier et remédier aux vulnérabilités de votre environnement.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

 

Cet avis sur les menaces a été initialement publié sur SmarterMSP.com.

Billets associés :
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
 Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Microsoft SharePoint
Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Microsoft SharePoint
 Avis de menace de cybersécurité : attaque mondiale contre Microsoft Exchange
Avis de menace de cybersécurité : attaque mondiale contre Microsoft Exchange
 Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Google Chrome
Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Google Chrome
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.