Teknik Detaylar
SafeBreach Labs, Windows Lightweight Directory Access Protocol (LDAP) servisinde kritik bir “zero-click” zafiyeti tespit etti. “LDAP Nightmare” olarak adlandırılan bu açık, CVE-2024-49112 olarak izleniyor ve 9.8’lik bir CVSS puanı ile çok ciddi bir tehdit oluşturduğu vurgulanıyor. Microsoft Active Directory yapısında çok kritik bir rol oynayan LDAP, organizasyonel ağlarda dizin hizmetleri iletişimini sağlıyor.
Bu açık, ilk olarak 10 Aralık 2024 tarihinde Microsoft’un Patch Tuesday güncellemesi ile duyuruldu. Zafiyet, kimlik doğrulama gerektirmeyen bir uzak kod yürütme (RCE) sorunundan kaynaklanıyor. SafeBreach Labs bu açığın, Active Directory Domain Controller (DC) sunucuları dâhil olmak üzere, yamalanmamış Windows Server’ları çökertebileceğini ve ağ yapılarını tamamen tehlikeye atabileceğini kanıtladı.
Yeni araştırmalara göre, bu açık, özellikle wldap32.dll kütüphanesindeki bir bellek taşmasından ve LdapChaseReferral işlevinde yer alan bir null pointer dereferansından kaynaklanıyor. Bellek taşması, saldırganın özel olarak hazırlanmış LDAP istekleri göndererek hedef sunucunun bellek alanını bozmasına olanak tanıyor.
Zafiyetin Süreçleri
SafeBreach tarafından geliştirilen PoC exploit, LDAP Nightmare’ın etkisini gözler önünü seriyor. PoC exploit’in çalışma akışı şu adımlardan oluşuyor:
- Saldırgan, hedef sunucuya bir DCE/RPC isteği gönderir.
- Hedef sunucu, DNS sunucusundan alan adıyla ilgili bilgi talep eder.
- Saldırgan, LDAP bağlantısı için bir hostname ve port bilgisi ile yanıt verir.
- Hedef, hostname’i bulmak için bir NetBIOS yayını yapar.
- Saldırgan, hedefe kendi IP adresini döner.
- Hedef, bir LDAP istemcisine dönüşerek, saldırganın makinesine bir CLDAP isteği gönderir.
- Saldırgan, özel olarak hazırlanmış bir LDAP referral yanıtı ile LSASS’ı (Local Security Authority Subsystem Service) çökerterek sunucunun yeniden başlatılmasını sağlar.
Araştırmalara göre saldırgan, DsrGetDcNameEx2 işlevi aracılığıyla uzaktan LDAP isteklerini tetikleyebiliyor. Bu işlev, bir domain controller hakkında bilgi almak için kullanılan bir RPC fonksiyonudur. Ayrıca, saldırganlar DNS SRV sorgularını manipüle ederek hedef sistemin kötü amaçlı bir LDAP sunucusuna yönlendirilmesini sağlıyor.
SafeBreach Labs, özellikle “lm_referral” değerinin bir referral tablosu içindeki bir aralık içinde kontrol edilip edilmediğini vurgulamıştır. Yamalanmamış sürümde bu kontrol eksik olduğundan, “lm_referral” değeri referral tablosundaki belirli bir ofseti erşime açık bırakıyor.
Etkilenen Sürümler ve Dosyalar
Bu zafiyet, Windows Server 2019’dan 2022’ye kadar olan tüm yamalanmamış Windows Server sürümlerini etkiliyor. Saldırganlar, bu zafiyeti kullanarak:
- Alan kaynağları üzerinde tam kontrol sağlayabilir.
- Kritik altyapıyı çökertebilir.
Çözüm ve Öneriler
Bu zafiyeti gidermek için önerilen adımlar:
- Microsoft Yamasını Uygulayın: Aralık 2024 Patch Tuesday güncellemesi bu zafiyetin giderilmesini sağlıyor.
- Anormal Aktiviteleri Takip Edin: CLDAP referral yanıtları, DsrGetDcNameEx2 çağrıları ve DNS SRV sorguları gibi şüpheli etkinlikleri izleyin.
- PoC Test Aracını Kullanın: SafeBreach’in GitHub deposunda bulunan PoC aracı ile ortamınızı test edin.
Sonuç ve Öneriler
CVE-2024-49112’nin PoC exploit’inin yayınlanması, organizasyonların bu açığa karşı hızla harekete geçmesi gerektiğini ortaya koyuyor. Microsoft’un sunduğu yamaların hemen uygulanması ve ek izleme mekanizmalarının devreye sokulması, ağların bu tür süzerlere karşı korunmasında kritik bir rol oynuyor.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #WindowsServer #ZeroClickVulnerability #LDAP #ActiveDirectory #CVE2024
About the Author
