InforSec News: Lỗ hổng nghiêm trọng trong Windows LDAP gây rủi ro chiếm quyền điều khiển từ xa mạng doanh nghiệp

Top Block Position

Lỗ hổng nghiêm trọng trong Windows LDAP gây rủi ro chiếm quyền điều khiển từ xa mạng doanh nghiệp

Microsoft vừa cảnh báo một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong dịch vụ Lightweight Directory Access Protocol (LDAP) của mình, có mã CVE-2024-49112, có điểm CVSS 9.8. Lỗ hổng này, được công bố trong bản cập nhật Patch Tuesday tháng 12, đặt ra mối đe dọa nghiêm trọng đối với các mạng doanh nghiệp.

Khai thác lỗ hổng này cho phép kẻ tấn công không xác thực thực thi mã tùy ý trong ngữ cảnh của dịch vụ LDAP, gây nguy hiểm cho DC (Domain Controller) và các thành phần quan trọng khác.

Tổng quan về CVE-2024-49112

Thành phần bị ảnh hưởng: Dịch vụ Windows LDAP trên các hệ điều hành Windows và phiên bản máy chủ, bao gồm Windows 10, Windows 11, Windows Server cũ và hiện đại.
Cơ chế khai thác: Khai thác xảy ra khi một yêu cầu LDAP độc hại được gửi tới máy chủ dễ bị tổn thương. Điều này có thể dẫn đến việc chiếm quyền hoàn toàn DC và các thành phần mạng quan trọng khác.
Chuỗi lỗ hổng: Khi kết hợp với CVE-2024-49124 và CVE-2024-49127 (đều có điểm CVSS 8.1), kẻ tấn công có thể nâng cao đặc quyền lên cấp SYSTEM, làm tăng đáng kể mối đe dọa đối với môi trường doanh nghiệp.

🚨🚨Tác động

Cho phép chiếm quyền hoàn toàn hệ thống bị ảnh hưởng.
Xâm phạm Bộ điều khiển miền, có khả năng cho phép kẻ tấn công kiểm soát rộng rãi mạng doanh nghiệp.
Được sử dụng làm bàn đạp cho các mối đe dọa dai dẳng nâng cao (APT) và di chuyển ngang trong mạng.

Mặc dù chưa có khai thác công khai nào được báo cáo, các chuyên gia bảo mật dự đoán rằng việc khai thác sẽ sớm diễn ra do tính dễ dàng của cuộc tấn công và mức độ ảnh hưởng cao.

🚨🚨Khuyến nghị

Áp dụng các bản cập nhật bảo mật

Các tổ chức nên ngay lập tức áp dụng các bản vá được phát hành trong bản cập nhật Patch Tuesday tháng 12 của Microsoft để khắc phục CVE-2024-49112 và các lỗ hổng liên quan (CVE-2024-49124, CVE-2024-49127).

Hạn chế quyền truy cập vào DC

Cấu hình tường lửa: Cấu hình các quy tắc tường lửa để chặn các kết nối Remote Procedure Call (RPC) từ các mạng không tin cậy.
Truy cập internet: Đảm bảo rằng DC không có quyền truy cập trực tiếp vào internet, nhằm giảm thiểu sự phơi bày với các cuộc tấn công tiềm ẩn.

Thực hiện rà soát lỗ hổng Sử dụng các công cụ và tập lệnh phát hiện để kiểm tra xem hệ thống có lỗ hổng hay không.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học