Windows LDAP-kwetsbaarheden maken remote code execution mogelijk
Verschillende kritieke kwetsbaarheden in het Windows Lightweight Directory Access Protocol (LDAP) maken remote code execution door ongeauthenticeerde aanvallers mogelijk, zo waarschuwt Microsoft, dat beveiligingsupdates heeft uitgebracht om de problemen te verhelpen. LDAP, wat een 'vendor-neutral' applicatieprotocol is, laat applicaties data over onder andere organisaties en personen vinden. Deze data is in Directory Services opgeslagen, zoals bijvoorbeeld Microsoft Active Directory.
Bij LDAP-authenticatie worden opgegeven gebruikersnamen en wachtwoorden gecontroleerd door verbinding te maken met een directory service die van het LDAP-protocol gebruikmaakt. Het voordeel van LDAP is dat gebruikers niet bij elke applicatie een account en wachtwoorden hoeven te hebben, maar dit kan worden opgevraagd bij de LDAP-server. "Omdat via LDAP toegang te verkrijgen is tot vaak gevoelige informatie, kan het een doelwit zijn voor cybercriminelen. Het gaat hierbij om persoonsgegevens maar ook informatie die gebruikt kan worden om zwakke plekken in het netwerk te ontdekken", aldus het Digital Trust Center (DTC) van het ministerie van Economische Zaken.
Tijdens de patchdinsdag van december kwam Microsoft met patches voor vijf kwetsbaarheden in LDAP, waarvan er drie als kritiek zijn bestempeld. De gevaarlijkste kwetsbaarheid wordt aangeduid als CVE-2024-49112. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller, door middel van speciaal geprepareerde LDAP calls, willekeurige code binnen de context van de LDAP service op kwetsbare Domain Controllers uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De andere twee kritieke lekken (CVE-2024-49124 en CVE-2024-49127) hebben een impactscore van 8.1.
Microsoft adviseert de installatie van de beveiligingsupdates, maar geeft ook mitigatie-advies als dit niet mogelijk is. Advies dat sommige beveiligingsexpert doet verbazen. "Ze adviseren Domain Controllers van internet los te koppelen. Dat zou deze aanval stoppen, maar ik weet niet hoe praktisch dit voor de meeste bedrijven zou zijn. Ik adviseer om de patch snel te testen en uit te rollen", aldus Dustin Childs van securitybedrijf ZDI. Microsoft bestempelt de kans op daadwerkelijk misbruik van het lek als 'less likely'.
"Is there any action a customer can take to protect against this vulnerability if they are unable to apply the update?
Ensure that domain controllers are configured either to not access the internet or to not allow inbound RPC from untrusted networks. While either mitigation will protect your system from this vulnerability, applying both configurations provides an effective defense-in-depth against this vulnerability."
Bovenstaand zal bij de meeste bedrijven al wel zo zijn, neem ik aan.
"Is there any action a customer can take to protect against this vulnerability if they are unable to apply the update?
Ensure that domain controllers are configured either to not access the internet or to not allow inbound RPC from untrusted networks. While either mitigation will protect your system from this vulnerability, applying both configurations provides an effective defense-in-depth against this vulnerability."
Bovenstaand zal bij de meeste bedrijven al wel zo zijn, neem ik aan.
Patchen sowieso. Of het nu Windows of Linux is het blijft een (geautomatiseerde) dagelijkse bezigheid.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
