{"id":307210,"date":"2024-12-19T07:59:42","date_gmt":"2024-12-19T06:59:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307210"},"modified":"2024-12-19T08:09:28","modified_gmt":"2024-12-19T07:09:28","slug":"kritische-ldap-schwachstelle-in-windows-cve-2024-49112","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/12\/19\/kritische-ldap-schwachstelle-in-windows-cve-2024-49112\/","title":{"rendered":"Kritische LDAP-Schwachstelle in Windows (CVE-2024-49112)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/12\/19\/critical-ldap-vulnerability-in-windows-cve-2024-49112\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein kleiner Nachtrag vom Dezember 2024-Patchday. Zum 10. Dezember 2024 hat Microsoft einen kritische Schwachstelle (CVE-2024-49112) im Lightweight Directory Access Protocol (LDAP) \u00f6ffentlich gemacht. Diese erm\u00f6glicht Remote-Angriffe auf Windows-Clients und -Server, wurde aber gepatcht. Es gibt aber eine Reihe Systeme, im Internet per LDAP erreichbar, was man vermeiden oder die Systeme besonders absichern sollte. Hier ein kurzer \u00dcberblick.<\/p>\n<p><!--more--><\/p>\n<h2>Windows LDAP-Schwachstelle (CVE-2024-49112)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/745d427d43d44506901e7dcb5d2228bc\" alt=\"\" width=\"1\" height=\"1\" \/>Ich habe es im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/12\/10\/microsoft-security-update-summary-10-dezember-2024\/\">Microsoft Security Update Summary (10. Dezember 2024)<\/a> erg\u00e4nzt. Microsoft hat zum 10. Dezember 2024 die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-49112\" target=\"_blank\" rel=\"noopener\">CVE-2024-49112<\/a> im Windows Lightweight Directory Access Protocol (LDAP) offen gelegt. Es handelt sich um eine Remote Code Execution-Schwachstelle, verursacht durch einen Integer-Overflow, die mit einem CVEv3 Score 9.8 als kritisch bewertet wurde.<\/p>\n<p>Ein nicht authentifizierter Angreifer, kann diese Schwachstelle remote erfolgreich ausnutzen. Er h\u00e4lt dann die M\u00f6glichkeit, beliebigen Code im Kontext des LDAP-Dienstes auszuf\u00fchren. Die erfolgreiche Ausnutzung h\u00e4ngt jedoch davon ab, welche Komponente angegriffen wird.<\/p>\n<ul>\n<li>Im Zusammenhang mit der Ausnutzung eines Dom\u00e4nencontrollers f\u00fcr einen LDAP-Server muss ein Angreifer speziell gestaltete RPC-Aufrufe an das Ziel senden, um eine Abfrage der Dom\u00e4ne des Angreifers auszul\u00f6sen, um erfolgreich zu sein.<\/li>\n<li>Im Zusammenhang mit der Ausnutzung einer LDAP-Client-Anwendung muss ein Angreifer das Opfer \u00fcberzeugen oder austricksen, damit es eine Domain-Controller-Abfrage f\u00fcr die Dom\u00e4ne des Angreifers durchf\u00fchrt oder eine Verbindung zu einem b\u00f6sartigen LDAP-Server herstellt. Unauthentifizierte RPC-Aufrufe w\u00e4ren jedoch nicht erfolgreich.<\/li>\n<\/ul>\n<p>Die Schwachstelle wurde im Rahmen der am 10. Dezember 2024 ausgerollten Sicherheitsupdates f\u00fcr Windows (siehe Links am Artikelende) geschlossen. Microsoft gibt an, dass diese Schwachstelle bisher nicht ausgenutzt werde und die Ausnutzbarkeit wird als weniger wahrscheinlich eingestuft.<\/p>\n<p>Kunden sollten zudem sicherstellen, dass Dom\u00e4nencontroller entweder so konfiguriert sind, dass sie nicht auf das Internet zugreifen oder keine eingehenden RPCs aus nicht vertrauensw\u00fcrdigen Netzwerken zulassen. Beide Ma\u00dfnahmen sch\u00fctzen ein System vor dieser Sicherheitsanf\u00e4lligkeit.<\/p>\n<p>Der Hintergrund ist, dass RPC und LDAP extern \u00fcber SSL ver\u00f6ffentlicht werden. Die Anwendung der obigen Abschw\u00e4chungsma\u00dfnahmen verringert das Risiko, dass ein Angreifer ein Opfer erfolgreich davon \u00fcberzeugen oder austricksen kann, eine Verbindung zu einem b\u00f6sartigen Server herzustellen. Wenn eine Verbindung hergestellt wird, k\u00f6nnte der Angreifer b\u00f6sartige Anfragen \u00fcber SSL an das Ziel senden.<\/p>\n<h2>Zahlreiche Systeme im Internet erreichbar<\/h2>\n<p>Das Thema ist mir die Tage \u00fcber den Sicherheitsdienstleister Hunter unter die Augen gekommen. Dieser weist in nachfolgendem <a href=\"https:\/\/x.com\/HunterMapping\/status\/1868506025067712648\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf den Sachverhalt hin.<\/p>\n<p><a href=\"https:\/\/x.com\/HunterMapping\/status\/1868506025067712648\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"LPAD vulnerability in Windows (CVE-2024-49112)\" src=\"https:\/\/i.postimg.cc\/xCH42nk0\/image.png\" alt=\"LPAD vulnerability in Windows (CVE-2024-49112)\" width=\"530\" height=\"323\" \/><\/a><\/p>\n<p>Hunter schreibt, dass Microsoft Einzelheiten zu der kritischen Schwachstelle CVE-2024-49112, die eine Remotecodeausf\u00fchrung (RCE) im Windows Lightweight Directory Access Protocol (LDAP) erm\u00f6glicht, bekannt gegeben hat.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/pLkdxtNM\/image.png\" alt=\"LDAP Windows systems found in the internet\" width=\"376\" height=\"800\" \/><\/p>\n<p>Hunter schreibt, dass j\u00e4hrlich 178.900 LDAP- und LDAPS-Dienste j\u00e4hrlich beim Scans \u00fcber <a href=\"https:\/\/hunter.how\/\" target=\"_blank\" rel=\"noopener\">hunter.how<\/a> gefunden w\u00fcrden. Obiges Bild zeigt die Funde \u00fcber verschiedene L\u00e4nder. Die Treffer f\u00fcr Deutschland werden <a href=\"https:\/\/hunter.how\/list?searchValue=%20%28protocol%3D%3D%22ldaps%22%20or%20protocol%3D%3D%22ldap%22%29%20and%20ip.country%3D%3D%22Germany%22\" target=\"_blank\" rel=\"noopener\">hier aufgelistet<\/a>, es sind Systeme von Hetzner oder Contabo oder Mittwald dabei.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2024\/12\/10\/microsoft-security-update-summary-10-dezember-2024\/\">Microsoft Security Update Summary (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/11\/patchday-windows-10-server-updates-10-dezember-2024\/\">Patchday: Windows 10\/Server-Updates (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/11\/patchday-windows-11-server-2022-updates-10-dezember-2024\/\" target=\"_blank\" rel=\"noopener\">Patchday: Windows 11\/Server 2022\/2025-Updates (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/11\/patchday-windows-server-2012-r2-10-dezember-2024\/\">Patchday: Windows Server 2012 \/ R2\u00a0 (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/12\/patchday-microsoft-office-updates-10-dezember-2024\/\">Patchday: Microsoft Office Updates (10. Dezember 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein kleiner Nachtrag vom Dezember 2024-Patchday. Zum 10. Dezember 2024 hat Microsoft einen kritische Schwachstelle (CVE-2024-49112) im Lightweight Directory Access Protocol (LDAP) \u00f6ffentlich gemacht. Diese erm\u00f6glicht Remote-Angriffe auf Windows-Clients und -Server, wurde aber gepatcht. Es gibt aber eine Reihe &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/12\/19\/kritische-ldap-schwachstelle-in-windows-cve-2024-49112\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,2557],"tags":[8523,4328,4315,3288],"class_list":["post-307210","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-server","tag-patchday-12-2024","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=307210"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307210\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=307210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=307210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=307210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}