Résumé de la situation concernant les vulnérabilités CVE-2024-49113 (LDAPNightmare) & CVE-2024-49112 dans le service LDAP Windows

🔍 Les vulnérabilités en bref

• ⚡ CVE-2024-49112

  • 📝 Type : Exécution de code à distance (RCE)
    
  • 🔢 Score CVSS : 9.8
    
  • 🧑‍💻 Découverte : Par le chercheur en sécurité Yuki Chen, dont les détails précis n'ont pas encore été divulgués (des démonstrations potentielles en conférences infosec à venir).
    

• ⚡ CVE-2024-49113

  • 📝 Type : Déni de service (DoS)
    
  • 🔢 Score CVSS : 7.5
    
  • 🪪 Surnom : LDAPNightmare (d’après SafeBreach).
    

💡 Clarifications importantes de Yuki Chen :

• Le PoC baptisé “LDAPNightmare” par SafeBreach est lié à CVE-2024-49113, et non à CVE-2024-49112.
  
• ⚠️ Attention au score CVSS : CVE-2024-49112 a un score élevé (9.8), mais son exploitabilité réelle pourrait être inférieure à d’autres failles corrigées ce mois-ci.
  

"Here is the ironic side of vuln response based on CVSS score - especially when it comes to binary vulns. Everyone cares about CVE-2024-49112 because MS assigns CVSS 9.8 to this vulnerability, but never forget the score is highly affected by the skills of the analysis team behind."

— Yuki Chen

🔗 Source : Tweet de Yuki Chen

🛡️ Exploitation potentielle de CVE-2024-49112 (méthodes pas encore rendues publiques)

🎯 Sur un contrôleur de domaine

• Un attaquant non authentifié envoie des appels RPC spécialement conçus pour forcer un lookup vers son domaine malveillant.
  
• Si la cible est un serveur LDAP, la faille permet d’exécuter du code arbitraire dans le contexte du service LDAP.
  

👨‍💻 Sur un client LDAP

• L’attaquant doit tromper la victime afin qu’elle réalise :
  
  • 🔍 Un lookup de contrôleur de domaine vers un domaine malveillant, ou
    
  • 🔗 Une connexion directe à un serveur LDAP malveillant.
    
• Note : Les appels RPC non authentifiés ne fonctionneront pas.
  

🔗 Source : TrendMicro

Comment les attaquants peuvent exploiter CVE-2024-49113 (LDAPNightmare)

• 🧪 Proof-of-Concept (PoC) :
  SafeBreach Labs a publié un exploit démontrant qu’un simple paquet CLDAP malveillant peut :
  
  • ❌ Faire crasher LSASS (Local Security Authority Subsystem Service).
    
  • 🔄 Redémarrer un contrôleur de domaine Windows (ou tout Windows Server vulnérable).
    
• 📋 Condition requise :
  
  • Le serveur DNS du DC ciblé doit pouvoir communiquer avec Internet.
    
• ⚙️ Variante RCE :
  SafeBreach a également indiqué qu’une variante de la chaîne d’exploitation pourrait aboutir à un RCE (CVE-2024-49112) en modifiant le paquet CLDAP.
  

🔗 PoC CVE-2024-49113 (LDAPNightmare) : GitHub SafeBreach-Labs

🔒 Comment se protéger

• ✅ Appliquer les correctifs Microsoft du Patch Tuesday de décembre 2024 :
  
  • 🛠 🩹 CVE-2024-49112
    
  • 🛠 🩹 CVE-2024-49113
    

#CyberVeille #LDAPNightmare #CVE_2024_49112 #CVE_2024_49113