Nicht gepatchte Sicherheitslücke in Active Directory kann zum Absturz jedes Microsoft-Servers führen
Windows-Server sind anfällig für eine gefährliche LDAP-Sicherheitslücke, die zum Absturz mehrerer Server gleichzeitig führen kann und sofort gepatcht werden sollte.
Eine von zwei kritischen Sicherheitslücken in Active Directory Domain Controllern, die Microsoft im vergangenen Monat gepatcht hat, geht über die ursprüngliche Denial-of-Service-Angriffskette (DoS) hinaus und kann zum Absturz mehrerer nicht gepatchter Windows-Server gleichzeitig führen. Experten sind besorgt, dass viele Organisationen weiterhin anfällig sind.
Forscher von SafeBreach haben eine Analyse des DoS-Bugs erstellt, der als CVE-2024-49113 geführt wird. Diese Schwachstelle wurde zusammen mit einem ähnlichen RCE-Bug (Remote Control Execution), der als CVE-2024-49112 geführt wird, mit einem CVSS-Score von 9,8 im Lightweight Directory Access Protocol (LDAP) von Active Directory entdeckt, das zur Suche in den Datenbanken verwendet wird. Beide wurden im Dezember mit dem Microsoft-Sicherheitsupdate gepatcht.
Microsoft hat trotz der Schwere und der potenziellen Auswirkungen der LDAP-Schwachstellen nicht viele Details dazu bekannt gegeben, weshalb SafeBreach sich dazu entschlossen hat, tiefer zu graben und mehr herauszufinden.
LDAP ist das Protokoll, das Workstations und Server in Microsofts Active Directory verwenden, um auf Verzeichnisdienstinformationen zuzugreifen und diese zu verwalten.
Eine zusätzliche Analyse des DoS-LDAP-Fehlers ergab, dass die Angriffskette auch von einem Hacker genutzt werden könnte, um einen RCE-Angriff durchzuführen, oder, noch schlimmer, um einen beliebigen Windows-Server zum Absturz zu bringen, solange der Domänencontroller des Zielsystems über einen mit dem Internet verbundenen DNS-Server verfügt.
Warum die Microsoft LDAP-Schwachstelle so gefährlich ist
Vor dem Patch-Dienstag-Update im Dezember war jede einzelne Organisation, die Windows Server einsetzt, anfällig für die Schwachstelle, erklärt Tal Be'ery, Chief Technology Officer und Mitbegründer von Zengo Wallet.
Es gibt noch keine Anzeichen dafür, dass die Schwachstelle in freier Wildbahn ausgenutzt wird, aber Be'ery weist auf die Veröffentlichung von Exploit-Code durch PatchPoint als Signal für Bedrohungsakteure hin.
Angreifer müssen sich in der Regel von einem einzelnen gehackten Gerät aus durch ein Labyrinth kämpfen, das Be'ery mit einem Leiterspiel vergleicht, und sich schließlich von einer Schwachstelle zur nächsten bis zum großen Gewinn vorarbeiten – dem mit Anmeldedaten gefüllten Domain-Controller. Die Zeit, die diese Hacker damit verbringen, sich tiefer in das System vorzuarbeiten, bietet Verteidigern die Möglichkeit, den Cyberangriff zu stoppen, bevor ein größerer Schaden entsteht.
Mit dieser LDAP-Schwachstelle können Hacker sofort von Feld 1 auf 100 springen, bevor die Verteidiger reagieren können.
Die SafeBreach-Untersuchung bestätigte auch, dass die Patches von Microsoft vom Dezember 2024 wirksam sind. Daher werden Administratoren dringend gebeten, Windows-Server und alle Domänencontroller sofort zu patchen.
Wenn Server nicht gepatcht werden können, empfiehlt Be'ery den Verteidigern, "kompensierende Kontrollen wie LDAP- und RPC-Firewalls zu verwenden, um die Ausnutzung dieser Schwachstelle zu blockieren".