Er is een proof-of-concept (PoC)-exploit vrijgegeven voor een inmiddels gepatchte beveiligingsfout die gevolgen heeft voor Windows Lightweight Directory Access Protocol (LDAP) en die een denial-of-service (DoS)-toestand zou kunnen veroorzaken.
De kwetsbaarheid bij het lezen buiten het bereik wordt bijgehouden als CVE-2024-49113 (CVSS-score: 7,5). Het probleem werd door Microsoft verholpen als onderdeel van Patch Tuesday-updates voor december 2024, naast CVE-2024-49112 (CVSS-score: 9,8), een kritieke integer-overflow-fout in hetzelfde onderdeel die zou kunnen resulteren in de uitvoering van externe code.
De onafhankelijke beveiligingsonderzoeker Yuki Chen (@guhe120) heeft de ontdekking en rapportage van beide kwetsbaarheden gecrediteerd.
De CVE-2024-49113 PoC bedacht door SafeBreach Labs, met codenaam LDAPNachtmerrieis ontworpen om elke niet-gepatchte Windows Server te laten crashen “zonder vereisten, behalve dat de DNS-server van de slachtoffer-DC een internetverbinding heeft.”
Concreet houdt het in dat een DCE/RPC-verzoek naar de slachtofferserver wordt verzonden, waardoor uiteindelijk de Local Security Authority Subsystem Service (LSASS) crasht en een herstart wordt geforceerd wanneer een speciaal vervaardigd CLDAP-verwijzingsantwoordpakket wordt verzonden.
Erger nog, het in Californië gevestigde cyberbeveiligingsbedrijf ontdekte dat dezelfde exploitketen ook kon worden gebruikt om code-uitvoering op afstand te realiseren (CVE-2024-49112) door het CLDAP-pakket te wijzigen.
![](https://www.techidee.nl/wp-content/uploads/2025/01/1735900048_16_LDAPNightmare-PoC-Exploit-crasht-LSASS-en-start-Windows-domeincontrollers-opnieuw-op.png)
Het advies van Microsoft voor CVE-2024-49113 is beperkt tot technische details, maar de Windows-maker heeft onthuld dat CVE-2024-49112 kan worden uitgebuit door RPC-verzoeken te verzenden vanaf niet-vertrouwde netwerken om willekeurige code uit te voeren binnen de context van de LDAP-service.
“In de context van het exploiteren van een domeincontroller voor een LDAP-server moet een aanvaller, om succesvol te zijn, speciaal vervaardigde RPC-oproepen naar het doel sturen om een zoekopdracht naar het domein van de aanvaller te activeren om succesvol te zijn”, aldus Microsoft.
“In de context van het exploiteren van een LDAP-clienttoepassing moet een aanvaller, om succesvol te zijn, het slachtoffer overtuigen of misleiden om een domeincontrollerzoekopdracht uit te voeren voor het domein van de aanvaller of om verbinding te maken met een kwaadaardige LDAP-server. Niet-geverifieerde RPC-aanroepen zouden echter niet slagen. ”
Bovendien kan een aanvaller een RPC-verbinding met een domeincontroller gebruiken om opzoekoperaties voor domeincontrollers tegen het domein van de aanvaller te activeren, aldus het bedrijf.
Om het risico van deze kwetsbaarheden te beperken, is het essentieel dat organisaties de door Microsoft uitgebrachte patches van december 2024 toepassen. In situaties waarin onmiddellijk patchen niet mogelijk is, wordt geadviseerd om “detecties te implementeren om verdachte CLDAP-verwijzingsreacties (met de specifieke kwaadaardige waarde ingesteld), verdachte DsrGetDcNameEx2-oproepen en verdachte DNS SRV-query’s te monitoren.”