{"id":307526,"date":"2025-01-05T00:06:36","date_gmt":"2025-01-04T23:06:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307526"},"modified":"2025-01-06T07:34:43","modified_gmt":"2025-01-06T06:34:43","slug":"ungepatchte-active-directory-schwachstelle-kann-ungepatchte-window-server-zum-absturz-bringen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/01\/05\/ungepatchte-active-directory-schwachstelle-kann-ungepatchte-window-server-zum-absturz-bringen\/","title":{"rendered":"Active Directory-Schwachstelle kann ungepatchte Window Server zum Absturz bringen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/01\/06\/active-directory-vulnerability-can-cause-unpatched-windows-servers-to-crash\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch eine kurze Information f\u00fcr Administratoren von Windows Server-Systemen. Es gibt wohl eine von Microsoft im Dezember 2024 gepatchte Active Directory-Schwachstelle, die Angreifern auf nicht gepatchten Windows Server-Systemen die M\u00f6glichkeit bietet, diese zum Absturz zu bringen. <strong>Erg\u00e4nzung:<\/strong> Weitere Informationen erg\u00e4nzt.<\/p>\n<h2><!--more--><br \/>\nEine erste Meldung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/8c0c1092d6ea42a0b7b1a9e055fea050\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber nachfolgenden Tweet vor Tagen erstmals auf den Sachverhalt gesto\u00dfen, der von Darkreading im Beitrag <a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/active-directory-flaw-can-crash-any-microsoft-server-connected-to-the-internet\" target=\"_blank\" rel=\"noopener\">Unpatched Active Directory Flaw Can Crash Any Microsoft Server<\/a> aufbereitet wurde.<\/p>\n<p><a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/active-directory-flaw-can-crash-any-microsoft-server-connected-to-the-internet\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/1XyP9Jp8\/image.png\" alt=\"Active Directory Vulnerability in Windows Server\" width=\"593\" height=\"297\" \/><\/a><\/p>\n<p>Sicherheitsforscher\u00a0von SafeBreach haben eine Analyse des DoS-Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-49113\" target=\"_blank\" rel=\"noopener\">CVE-2024-49113<\/a> erstellt. Diese Schwachstelle wurde zusammen mit RCE-Schwachstelle (Remote Control Execution) <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-49112\" target=\"_blank\" rel=\"noopener\">CVE-2024-49112<\/a> (CVSS-Index von 9,8) im Lightweight Directory Access Protocol (LDAP) von Active Directory entdeckt.<\/p>\n<p>Microsoft hat beide Schwachstellen mit den Sicherheitsupdates vom Dezember 2024 geschlossen. Problem ist, dass eine der beiden kritischen Active Directory Domain Controller-Schwachstellen nicht nur die urspr\u00fcnglich berichteten Denial-of-Service (DoS)-Angriffe erm\u00f6glichen. Die Schwachstelle kann auch benutzt werden, um ungepatchte Windows-Server zum Absturz zu bringen. Experten bef\u00fcrchten, dass viele Unternehmen\u00a0 noch ungepatchte Windows Server betreiben und f\u00fcr solche Angriffe anf\u00e4llig sind.<\/p>\n<h2>Es gibt einen Zero-Click-Exploit<\/h2>\n<p>Kurze Erg\u00e4nzung: F\u00fcr die Schwachstelle gibt es bereits einen Exploit, wie ich <a href=\"https:\/\/securityonline.info\/poc-exploit-released-for-zero-click-vulnerability-cve-2024-49112-in-windows\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> gelesen habe. Security Online skizziert im Beitrag <a href=\"https:\/\/securityonline.info\/poc-exploit-released-for-zero-click-vulnerability-cve-2024-49112-in-windows\/\" target=\"_blank\" rel=\"noopener\">PoC Exploit Released for Zero-Click Vulnerability CVE-2024-49113 in Windows<\/a>, wie die ungepatchte Schwachstelle ausgenutzt werden kann.<\/p>\n<p>Andy Wendel hatte mich bereits am gestrigen Samstag, den 4. Januar 2024 in einer privaten Nachricht auf Facebook bez\u00fcglich der Thematik kontaktiert. Da war der Beitrag aber bereits als Konserve erstellt und ich bin aktuell nicht in der Lage, gro\u00df zu reagieren (eine simple Erk\u00e4ltung nagelt mich mit starken Nervenschmerzen ans Bett &#8211; Sp\u00e4tfolge meines Sportunfalls mit R\u00fcckenmarksverletzung vor 10 Jahren). Daher kopiere ich in Informationen von Andy als Erg\u00e4nzung hier in den Beitrag.<\/p>\n<p>Andy schrieb \"sehr genialer Beitrag \u00fcber einen mittlerweile geschlossenen CVE-2024-49112\" und verlinkte auf nachfolgenden Tweet, der den Beitrag\u00a0<a href=\"https:\/\/www.safebreach.com\/blog\/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49113\/\" target=\"_blank\" rel=\"noopener\">LDAPNightmare: SafeBreach Labs Publishes First Proof-of-Concept Exploit for CVE-2024-49113<\/a> aufgreift.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/wM0X94LB\/image.png\" alt=\"LDAPNightmare: SafeBreach Labs Publishes First Proof-of-Concept Exploit for CVE-2024-49112\" width=\"626\" height=\"508\" \/><\/p>\n<p>Ist nichts wirklich neues, au\u00dfer, dass es ein Proof of Concept gibt. Andy Wendel hat mir auf Facebook aber noch einige Informationen gegeben, die ich f\u00fcr die Leserschaft 1:1 einstelle. Er merkt dazu an:<\/p>\n<blockquote><p>Ich schreibe und sage immer: Dom\u00e4nencontroller sollten niemals mit dem DNS-Server nach extern aufl\u00f6sen k\u00f6nnen &#8211; niemals. Zus\u00e4tzlich sollten diese alle Root-Server gel\u00f6scht haben.<\/p><\/blockquote>\n<p>Andy hat dazu folgenden Screenshots mitgeliefert, der die Eigenschaften eines DC im DNS-Manager zeigt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Einstellung DNS-Manager\" src=\"https:\/\/i.postimg.cc\/rpr7zxhT\/image.png\" alt=\"Einstellung DNS-Manager\" width=\"725\" height=\"691\" \/><\/p>\n<p>Er schrieb dazu, das ihm dies mal vor Jahren vom Security-Consultant der Firma @yet, Thomas Peters, gezeigt wurde. Er merkt dazu an: \"die Recursion sollte deaktiviert sein\" (siehe folgender Screenshot).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"\" src=\"https:\/\/i.postimg.cc\/bvy2w9YD\/image.png\" alt=\"DNS-Eigenschaften DC, Rekursion\" width=\"830\" height=\"637\" \/><\/p>\n<p>Dazu merkte er an \"Kannst Du gerne so schreiben, auch mit Bildern etc.\" (danke an Andy)\u00a0 &#8211; vielleicht hilft es dem einen oder anderen aus der Leserschaft.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2024\/12\/10\/microsoft-security-update-summary-10-dezember-2024\/\">Microsoft Security Update Summary (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/11\/patchday-windows-10-server-updates-10-dezember-2024\/\">Patchday: Windows 10\/Server-Updates (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/11\/patchday-windows-11-server-2022-updates-10-dezember-2024\/\" target=\"_blank\" rel=\"noopener\">Patchday: Windows 11\/Server 2022\/2025-Updates (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/11\/patchday-windows-server-2012-r2-10-dezember-2024\/\">Patchday: Windows Server 2012 \/ R2\u00a0 (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/12\/patchday-microsoft-office-updates-10-dezember-2024\/\">Patchday: Microsoft Office Updates (10. Dezember 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/19\/kritische-ldap-schwachstelle-in-windows-cve-2024-49112\/\">Kritische LDAP-Schwachstelle in Windows (CVE-2024-49112)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch eine kurze Information f\u00fcr Administratoren von Windows Server-Systemen. Es gibt wohl eine von Microsoft im Dezember 2024 gepatchte Active Directory-Schwachstelle, die Angreifern auf nicht gepatchten Windows Server-Systemen die M\u00f6glichkeit bietet, diese zum Absturz zu bringen. Erg\u00e4nzung: Weitere Informationen erg\u00e4nzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2557],"tags":[24,4364],"class_list":["post-307526","post","type-post","status-publish","format-standard","hentry","category-windows-server","tag-problem","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=307526"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307526\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=307526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=307526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=307526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}