CVE-2024-49112 es una vulnerabilidad crítica en el cliente LDAP de Windows que según Microsoft permite la ejecución remota de código. Este exploit aprovecha la vulnerabilidad para bloquear los sistemas Windows Server de destino mediante la interacción con su Netlogon Remote Protocol (NRPC), y el cliente LDAP.

Empezamos el año fuerte con los investigadores de SafeBreach publicando el código para una PoC que se aprovecha de la vulnerabilidad CVE-2024-49112 (CVSS 9.8) conocida como LDAPNightmare, concretamente un exploit que causa un DoS en cualquier servidor Windows no parcheado (incluyendo controladores de dominio) "simplemente" mandando peticiones LDAP especialmente modificadas.

Es solo un pasito más hacia el RCE funcional que pronto veremos "gracias" a esta vulnerabilidad encontrada por Yuki Chen (@guhe120) y publicada el 10 de diciembre.

El flujo del ataque es el siguiente:

1. El atacante envía una solicitud DCE/RPC a la máquina del servidor de la víctima
2. Se activa la víctima para que envíe una consulta DNS SRV sobre el dominio, en el ejemplo SafeBreachLabs.pro
3. El servidor DNS del atacante responde con el nombre de host de la máquina del atacante y el puerto LDAP
4. La víctima envía una solicitud NBNS de difusión para encontrar la dirección IP del nombre de host recibido (del atacante)
5. El atacante envía una respuesta NBNS con su dirección IP
6. La víctima se convierte en un cliente LDAP y envía una solicitud CLDAP a la máquina del atacante
7. El atacante envía un paquete de respuesta de referencia CLDAP con un valor específico que hace que LSASS se bloquee y fuerce el reinicio del servidor de la víctima

PoC:

python LdapNightmare.py <target_ip> --domain-name <domain_name> [options]

Repo: https://github.com/SafeBreach-Labs/CVE-2024-49112

Post técnico: https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112

Vía:

https://www.hackplayers.com/2025/01/exploit-dos-para-ldapnightmare-cve-2024.html