L’attaque LDAP Nightmare menace les contrôleurs de domaine Active Directory puisqu’un exploit PoC a été publié pour la CVE-2024-49113, une faille de sécurité importante présente dans Windows Server ! Quels sont les risques ? Faisons le point.
Les vulnérabilités CVE-2024-49113 et CVE-2024-49112 dans LDAP
La faille de sécurité CVE-2024-49113 a été corrigée par Microsoft le mardi 10 décembre 2024, à l’occasion du traditionnel Patch Tuesday. Découverte par Yuki Chen, cette vulnérabilité peut être exploitée à distance, en tant que faille zero-click : aucune intervention de l’utilisateur n’est requise. Microsoft évalue la complexité des attaques exploitant cette vulnérabilité comme étant “faible”. Elle permet de déclencher un déni de service, mais nous y reviendrons par la suite.
Elle affecte toutes les versions de Windows 10 et Windows 11, ainsi que Windows Server 2008 à Windows Server 2025 (y compris en mode Core). Ce qu’il faut comprendre surtout, c’est que cette vulnérabilité menace tous les contrôleurs de domaine Active Directory qui n’ont pas reçu la mise à jour de décembre.
Ce même Patch Tuesday, corrige également une autre faille de sécurité dans LDAP : CVE-2024-49112. Il s’agit d’une vulnérabilité critique permettant une exécution de code à distance, et elle menace également tous les contrôleurs de domaine.
La menace LDAP Nightmare
Les chercheurs en sécurité de chez SafeBreach Labs ont développé un code d’exploitation PoC pour la faille de sécurité CVE-2024-49113. D’après eux, cet exploit permet de faire planter “n’importe quel serveur Windows non corrigé (pas seulement les DC) sans aucun pré-requis sauf que le serveur DNS du DC ciblé à une connectivité Internet.”
Comme le montre le schéma ci-dessous, qui illustre l’attaque, celle-ci se termine par un crash du serveur pris pour cible. Les chercheurs en sécurité estiment qu’une modification de la réponse CLDAP envoyée à la fin du processus (étape 7) pourrait permettre d’exécuter du code à distance sur le serveur.
Source : SafeBreach Labs
Pour cela, l’idée est de créer une chaine d’exploitation basée sur les deux vulnérabilités : CVE-2024-49112 et CVE-2024-49113. “Afin de ne pas se planter et de poursuivre l’exploit, nous prévoyons de trouver un moyen de déclencher un integer overflow dans le code qui analyse la réponse CLDAP, car le MSRC a documenté que la CVE-2024-49112 est déclenchée par un integer overflow.”, peut-on lire dans le rapport des chercheurs.
Dans ce cas, cette attaque pourrait être un véritable cauchemar pour les entreprises : elle permettrait d’exécuter du code à distance sur n’importe quel serveur Windows Server vulnérable, y compris les contrôleurs de domaine.
Le correctif publié par Microsoft en décembre dernier modifie la bibliothèque DLL vulnérable, ce qui ne permet plus d’exploiter ces deux failles de sécurité : mais pour cela, il faut patcher ses serveurs !
Pour accéder à l’exploit PoC et visualiser une vidéo de démonstration, vous pouvez consulter ce GitHub :
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.