Mastodawn

samir x Jan 13, 2025

Script kiddies beware!

https://www.bleepingcomputer.com/news/security/fake-ldapnightmware-exploit-on-github-spreads-infostealer-malware/

#malware #exploit #ldapnightmare #securitynews

Fake LDAPNightmware exploit on GitHub spreads infostealer malware

A deceptive proof-of-concept (PoC) exploit for CVE-2024-49113 (aka "LDAPNightmare") on GitHub infects users with infostealer malware that exfiltrates sensitive data to an external FTP server.

BleepingComputer

TechNewsRo Jan 11, 2025

Exploiting the #LDAPNightmare #Vulnerability: A Hidden Danger

https://technewsro.blog/exploatarea-vulnerabilitatii-ldapnightmare-un-pericol-ascuns/

Exploatarea Vulnerabilității LDAPNightmare: Un Pericol Ascuns - TECHNEWSRO

În decembrie 2024, Microsoft a abordat două vulnerabilități critice în protocolul Windows Lightweight Directory Access Protocol (LDAP) prin lansarea lunară Patch Tuesday. Aceste vulnerabilități, CVE-2024-49112 și CVE-2024-49113, au fost considerate extrem de semnificative datorită utilizării pe scară largă a LDAP în mediile Windows.CVE-2024-49112 este o eroare de executare a codului la distanță (RCE) care permite

TECHNEWSRO - Pasionat de tehnologie

Matt Franz Jan 8, 2025

From a good discussion on #LDAPNightmare https://github.com/SigmaHQ/sigma/pull/5155

Create CVE-2024-49113 by samuelmonsempessenthorus · Pull Request #5155 · SigmaHQ/sigma

Summary of the Pull Request This pull request adds a new Sigma rule to detect critical errors involving the lsass.exe process and WLDAP32.dll module in Windows Application Logs (EventID 1000). This...

GitHub

decio Jan 4, 2025

Résumé de la situation concernant les vulnérabilités CVE-2024-49113 (LDAPNightmare) & CVE-2024-49112 dans le service LDAP Windows

🔍 Les vulnérabilités en bref

⚡ CVE-2024-49112
- 📝 Type : Exécution de code à distance (RCE)
- 🔢 Score CVSS : 9.8
- 🧑‍💻 Découverte : Par le chercheur en sécurité Yuki Chen, dont les détails précis n'ont pas encore été divulgués (des démonstrations potentielles en conférences infosec à venir).
⚡ CVE-2024-49113
- 📝 Type : Déni de service (DoS)
- 🔢 Score CVSS : 7.5
- 🪪 Surnom : LDAPNightmare (d’après SafeBreach).

💡 Clarifications importantes de Yuki Chen :

Le PoC baptisé “LDAPNightmare” par SafeBreach est lié à CVE-2024-49113, et non à CVE-2024-49112.
⚠️ Attention au score CVSS : CVE-2024-49112 a un score élevé (9.8), mais son exploitabilité réelle pourrait être inférieure à d’autres failles corrigées ce mois-ci.

"Here is the ironic side of vuln response based on CVSS score - especially when it comes to binary vulns. Everyone cares about CVE-2024-49112 because MS assigns CVSS 9.8 to this vulnerability, but never forget the score is highly affected by the skills of the analysis team behind."

— Yuki Chen

🔗 Source : Tweet de Yuki Chen

🛡️ Exploitation potentielle de CVE-2024-49112 (méthodes pas encore rendues publiques)

🎯 Sur un contrôleur de domaine

Un attaquant non authentifié envoie des appels RPC spécialement conçus pour forcer un lookup vers son domaine malveillant.
Si la cible est un serveur LDAP, la faille permet d’exécuter du code arbitraire dans le contexte du service LDAP.

👨‍💻 Sur un client LDAP

L’attaquant doit tromper la victime afin qu’elle réalise :
- 🔍 Un lookup de contrôleur de domaine vers un domaine malveillant, ou
- 🔗 Une connexion directe à un serveur LDAP malveillant.
Note : Les appels RPC non authentifiés ne fonctionneront pas.

🔗 Source : TrendMicro

Comment les attaquants peuvent exploiter CVE-2024-49113 (LDAPNightmare)

🧪 Proof-of-Concept (PoC) :
SafeBreach Labs a publié un exploit démontrant qu’un simple paquet CLDAP malveillant peut :
- ❌ Faire crasher LSASS (Local Security Authority Subsystem Service).
- 🔄 Redémarrer un contrôleur de domaine Windows (ou tout Windows Server vulnérable).
📋 Condition requise :
- Le serveur DNS du DC ciblé doit pouvoir communiquer avec Internet.
⚙️ Variante RCE :
SafeBreach a également indiqué qu’une variante de la chaîne d’exploitation pourrait aboutir à un RCE (CVE-2024-49112) en modifiant le paquet CLDAP.

🔗 PoC CVE-2024-49113 (LDAPNightmare) : GitHub SafeBreach-Labs

🔒 Comment se protéger

✅ Appliquer les correctifs Microsoft du Patch Tuesday de décembre 2024 :
- 🛠 🩹 CVE-2024-49112
- 🛠 🩹 CVE-2024-49113

#CyberVeille #LDAPNightmare #CVE_2024_49112 #CVE_2024_49113

Yuki Chen (@guhe120) on X

古河, Indepent security researcher, Bug bounty, ACG Otaku, Pwn2Own 15/16/17, PwnFest16,TianfuCup 18/19/20, 5 times MSRC MVR yearly Top 1. Got two pwnie awards.

X (formerly Twitter)

Rene Robichaud Jan 3, 2025

LDAPNightmare, a PoC exploit targets Windows LDAP flaw CVE-2024-49113
https://securityaffairs.com/172618/security/ldapnightmare-exploit-cve-2024-49113.html

#Infosec #Security #Cybersecurity #CeptBiro #LDAPNightmare #PoCexploit #WindowsLDAP

LDAPNightmare, a PoC exploit targets Windows LDAP flaw CVE-2024-49113

Experts warn of a new PoC exploit, LDAPNightmare, that targets a Windows LDAP flaw (CVE-2024-49113), causing crashes & reboots.

Security Affairs

Rene Robichaud Jan 3, 2025

LDAPNightmare PoC Exploit Crashes LSASS and Reboots Windows Domain Controllers
https://thehackernews.com/2025/01/ldapnightmare-poc-exploit-crashes-lsass.html

#Infosec #Security #Cybersecurity #CeptBiro #LDAPNightmare #PoCExploit #LSASS #WindowsDomainControllers

LDAPNightmare PoC Exploit Crashes LSASS and Reboots Windows Domain Controllers

LDAPNightmare PoC exploit crashes Windows Servers via CVE-2024-49113. Patch or monitor CLDAP responses to prevent DoS.

The Hacker News

Rene Robichaud Jan 3, 2025

LDAP Nightmare : l’attaque qui fait trembler Windows Server et l’Active Directory ! Patchez !
https://www.it-connect.fr/ldap-nightmare-attaque-fait-trembler-windows-server-et-active-directory/

#Infosec #Security #Cybersecurity #CeptBiro #LDAPNightmare #Attaque #WindowsServer #ActiveDirectory

L'attaque LDAP Nightmare fait trembler l'Active Directory !

LDAP Nightmare : une menace pour Active Directory. Un exploit PoC pour la faille CVE-2024-49113 met en danger les contrôleurs de domaine Windows Server !

IT-Connect