The estimated reading time 2 minutes
Das Problem
Gleich zu Beginn des neuen Jahres wurde eine signifikante Sicherheitslücke innerhalb von Windows bekannt. Kurz gesagt, lässt sich mit dieser Lücke über das Windows Lightweight Directory Access Protocol (LDAP) ein Server oder Client zum Absturz bringen.
Die Lösung
Die gute Nachricht, wer bereits die Updates von Dezember 2024 installiert hat, ist hier schon geschützt. Das Windows Update vom Dezember kam bereits am 10.12.2024 heraus!
Zu dieser Sicherheitslücke gibt es bereits einige Einträge im Internet, hier noch der Link zur offiziellen MSCR CVE-2024-49113.
Ebenfalls noch der Link zu CVE.org CVE-2024-49113
Hier hilft nun schnelles Patchen aller Systeme, da sowohl Clientbetriebssysteme als auch Serverbetriebssysteme davon betroffen sind. Da die Auswirkungen von DoS auf Clients nicht ganz so drastisch sind, dürften sich die Angriffe eher in Richtung der Server bewegen.
Hier noch ein Link zum Patch von Microsoft, sollte dieser nicht bereits zur Verfügung stehen:
https://support.microsoft.com/en-us/topic/december-10-2024-kb5048654-os-build-20348-2966-6bdefbfb-1404-4b17-a264-5e025042683e#ID0EJBD=Windows_Update
Angriffsszenario LDAP DoS
Wer sich für die Funktionsweise dieses DoS Angriffes über LDAP interessiert, wird bei einem ausführlichen PoC fündig:
https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49113/
Vereinfacht gesagt, sendet der Angreifer eine LDAP Anfrage an eine Maschine (kann ein DomainController sein, muss aber nicht), dieser versucht dann eine LDAP Abfrage im Internet welche den Hostnamen der Angreifer-Maschine als LDAP Server zurück gibt. Nun antwortet die Angreifer-Maschine und schickt dann eine CLDAP Antwort mit falschen Angaben, was die Zielmaschine zum Absturz bringt.
Zusätzlich habe ich noch ein kleines Schaubild dazu erstellt:
Zusätzlich habe ich die genannten DLLs auf einem Server vor und nach dem Update verglichen, diese habe sich bereits in der Größe geändert.
Genaue Erläuterung dazu finden sich ebenfalls im Technical Deep Dive.
Ich freue mich über Kommentare und Anregungen zum Thema und hoffe, dass ich den Safebreach Artikel etwas verständlich dargestellt habe.
Die wichtigste Aussage das Artikels: bitte Systeme schnellstmöglich updaten
