Vulnerabilidad en Windows LDAP

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de explotación. Entre las destacadas se encontraban vulnerabilidades que afectaban al protocolo Lightweight Directory Access Protocol (LDAP), el cual es ampliamente utilizado por diversas organizaciones. 

La vulnerabilidad CVE-2024-49112 está catalogada como crítica, con un score CVSS de 9.8. Permite a atacantes remotos no autenticados ejecutar código arbitrario sin la necesidad de interactuar con el usuario ni obtener privilegios previamente. En caso de lograr la explotación de esta vulnerabilidad, el atacante tendría acceso a información confidencial, podría modificarla, interrumpir servicios y realizar movimientos laterales. Esto implica que la explotación compromete la confidencialidad, la integridad y la disponibilidad de los datos. 

Prueba de Concepto (PoC)

Aunque la vulnerabilidad lleva casi un mes desde su publicación, recientemente ganó notoriedad debido a la divulgación de una prueba de concepto (PoC). Esta no estaba dirigida específicamente a la CVE mencionada, pero, al tratarse de una vulnerabilidad en el mismo protocolo, los pasos para su explotación son similares, con una ligera variación en el paso final
Los pasos a seguir para la explotación de la vulnerabilidad son los siguientes: 

1. El atacante envía una solicitud DCE/RPC al servidor de la víctima. 
2. La víctima es provocada para que envíe una consulta DNS SRV. 
3. El DNS del atacante responde con el hostname de la máquina y el puerto LDAP. 
4. La víctima manda un broadcast para encontrar la IP del hostname recibido. 
5. El atacante envía una respuesta con su IP. 
6. La víctima se convierte en un cliente LDAP y manda un requerimiento CLDAP a la máquina del atacante. 
7. El atacante responde con un paquete CLDAP modificado, con un valor específico que hace que LSASS se bloquee, forzando el reinicio del servidor de la víctima.

Diagrama de los pasos a seguir 

Aunque la prueba de concepto es para la CVE-2024-49113 se siguen los mismos pasos exceptuando el ultimo, ya que se tiene que modificar el paquete enviado para poder ejecutar código de manera remota.

Versiones Afectadas

Software	Version
Windows Server 2008 R2 Service Pack 1	6.1.7601.0 hasta 6.1.7601.27467
Windows Server 2008 R2 Service Pack 1 (instalación de Server Core)	6.1.7601.0 hasta 6.1.7601.27467
Windows 10 versión 1507	10.0.10240.0 antes de 10.0.10240.20857
Windows 10, versión 1607	10.0.14393.0 antes de 10.0.14393.7606
Windows 10, versión 1809	10.0.17763.0 hasta 10.0.17763.6659
Windows 10 versión 21H2	10.0.19043.0 hasta 10.0.19044.5247
Windows 10, versión 22H2	10.0.19045.0 hasta 10.0.19045.5247
Windows 11 versión 22H2	10.0.22621.0 antes de 10.0.22621.4602
Windows 11 versión 22H3	10.0.22631.0 antes de 10.0.22631.4602
Windows 11 versión 23H2	10.0.22631.0 antes de 10.0.22631.4602
Windows 11 versión 24H2	10.0.26100.0 antes de 10.0.26100.2605
Windows Server 2012	6.2.9200.0 antes de 6.2.9200.25222
Windows Server 2012 (instalación de Server Core)	6.2.9200.0 antes de 6.2.9200.25222
Windows Server 2012 R2	6.3.9600.0 antes de 6.3.9600.22318
Windows Server 2012 R2 (instalación de Server Core)	6.3.9600.0 antes de 6.3.9600.22318
Windows Server 2016	10.0.14393.0 antes de 10.0.14393.7606
Windows Server 2016 (instalación de Server Core)	10.0.14393.0 antes de 10.0.14393.7606
Windows Server 2019	10.0.17763.0 hasta 10.0.17763.6659
Windows Server 2019 (instalación de Server Core)	10.0.17763.0 hasta 10.0.17763.6659
Windows Server 2022, edición 23H2 (instalación de Server Core)	10.0.25398.0 antes de 10.0.25398.1308
Windows Server 2022	10.0.20348.0 antes de 10.0.20348.2966
Windows Server 2025	10.0.26100.0 antes de 10.0.26100.2605

Recomendaciones

• Actualizar la versión con la que se cuenta a una actualización parchada 
• Actualizar la versión de Windows 10 1809 a la versión 10.0.17763.6659 o superior. 
• Actualizar la versión de Windows Server 2019 a la versión 10.0.17763.6659 o superior. 
• Actualizar la versión de Windows Server 2019 (instalación de Server Core) a la versión 10.0.17763.6659 o superior. 
• Actualizar la versión de Windows Server 2022 a la versión 10.0.20348.2966 o superior. 
• Actualizar la versión de Windows 10 versión 21H2 a la versión 10.0.19044.5247 o superior. 
• Actualizar la versión de Windows 11 versión 22H2 a la versión 10.0.22621.4602 o superior. 
• Actualizar la versión de Windows 10, versión 22H2 a la versión 10.0.19045.5247 o superior. 
• Actualizar la versión de Windows Server 2025 (instalación de Server Core) a la versión 10.0.26100.2605 o superior. 
• Actualizar la versión de Windows 11 versión 22H3 a la versión 10.0.22631.4602 o superior. 
• Actualizar la versión de Windows 11 versión 23H2 a la versión 10.0.22631.4602 o superior. 
• Actualizar la versión de Windows Server 2022, edición 23H2 (instalación de Server Core) a la versión 10.0.25398.1308 o superior. 
• Actualizar la versión de Windows 11 versión 24H2 a la versión 10.0.26100.2605 o superior. 
• Actualizar la versión de Windows Server 2025 a la versión 10.0.26100.2605 o superior. 
• Actualizar la versión de Windows 10 versión 1507 a la versión 10.0.10240.20857 o superior. 
• Actualizar la versión de Windows 10, versión 1607 a la versión 10.0.14393.7606 o superior. 
• Actualizar la versión de Windows Server 2016 a la versión 10.0.14393.7606 o superior. 
• Actualizar la versión de Windows Server 2016 (instalación de Server Core) a la versión 10.0.14393.7606 o superior. 
• Actualizar la versión de Windows Server 2008 Service Pack 2 a la versión 6.0.6003.23016 o superior. 
• Actualizar la versión de Windows Server 2008 Service Pack 2 (instalación de Server Core) a la versión 6.0.6003.23016 o superior. 
• Actualizar la versión de Windows Server 2008 R2 Service Pack 1 a la versión 6.1.7601.27467 o superior. 
• Actualizar la versión de Windows Server 2008 R2 Service Pack 1 (instalación de Server Core) a la versión 6.1.7601.27467 o superior. 
• Actualizar la versión de Windows Server 2012 a la versión 6.2.9200.25222 o superior. 
• Actualizar la versión de Windows Server 2012 (instalación de Server Core) a la versión 6.2.9200.25222 o superior. 
• Actualizar la versión de Windows Server 2012 R2 a la versión 6.3.9600.22318 o superior. 
• Actualizar la versión de Windows Server 2012 R2 (instalación de Server Core) a la versión 6.3.9600.22318 o superior. 
• Actualizar la versión de Windows Server 2008 R2 Service Pack 1 a la versión 6.1.7601.27467 o superior. 
• Actualizar la versión de Windows Server 2008 R2 Service Pack 1 (instalación de Server Core) a la versión 6.1.7601.27467 o superior. 
• Actualizar la versión de Windows 10 versión 1507 a la versión 10.0.10240.20857 o superior. 
• Actualizar la versión de Windows 10, versión 1607 a la versión 10.0.14393.7606 o superior. 
• Actualizar la versión de Windows 10, versión 1809 a la versión 10.0.17763.6659 o superior. 
• Actualizar la versión de Windows 10 versión 21H2 a la versión 10.0.19044.5247 o superior. 
• Actualizar la versión de Windows 10, versión 22H2 a la versión 10.0.19045.5247 o superior. 
• Actualizar la versión de Windows 11 versión 22H2 a la versión 10.0.22621.4602 o superior. 
• Actualizar la versión de Windows 11 versión 22H3 a la versión 10.0.22631.4602 o superior. 
• Actualizar la versión de Windows 11 versión 23H2 a la versión 10.0.22631.4602 o superior. 
• Actualizar la versión de Windows 11 versión 24H2 a la versión 10.0.26100.2605 o superior. 
• Actualizar la versión de Windows Server 2012 a la versión 6.2.9200.25222 o superior. 
• Actualizar la versión de Windows Server 2012 (instalación de Server Core) a la versión 6.2.9200.25222 o superior. 
• Actualizar la versión de Windows Server 2012 R2 a la versión 6.3.9600.22318 o superior. 
• Actualizar la versión de Windows Server 2022, edición 23H2 (instalación de Server Core) a la versión 10.0.25398.1308 o superior. 
• Actualizar la versión de Windows Server 2025 a la versión 10.0.26100.2605 o superior. 
• Actualizar la versión de Windows Server 2016 a la versión 10.0.14393.7606 o superior. 
• Actualizar la versión de Windows Server 2016 (instalación de Server Core) a la versión 10.0.14393.7606 o superior. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Security Update Guide - Microsoft Security Response Center. (2024, Diciembre 10). Recuperado el 03 de enero del 2025 en: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112 
2. CVE-2024-49112 Zero-Click Exploit PoC Released for Windows Servers. (2025, Enero 02). Recuperado el 03 de enero del 2025 en: https://hackhunting.com/2025/01/03/cve-2024-49112-exploit-poc-for-windows-servers/?utm_source=feedly 
3. CVE-2024-49112. (2024, Diciembre 10). Feedly. Recuperado el 03 de enero de 2025 en:  https://feedly.com/cve/CVE-2024-49112 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios