Windows LDAP-kwetsbaarheden maken remote code execution mogelijk

[Captain Kirk]

Verschillende kritieke kwetsbaarheden in het Windows Lightweight Directory Access Protocol (LDAP) maken remote code execution door ongeauthenticeerde aanvallers mogelijk, zo waarschuwt Microsoft, dat beveiligingsupdates heeft uitgebracht om de problemen te verhelpen. LDAP, wat een 'vendor-neutral' applicatieprotocol is, laat applicaties data over onder andere organisaties en personen vinden. Deze data is in Directory Services opgeslagen, zoals bijvoorbeeld Microsoft Active Directory.

Bij LDAP-authenticatie worden opgegeven gebruikersnamen en wachtwoorden gecontroleerd door verbinding te maken met een directory service die van het LDAP-protocol gebruikmaakt. Het voordeel van LDAP is dat gebruikers niet bij elke applicatie een account en wachtwoorden hoeven te hebben, maar dit kan worden opgevraagd bij de LDAP-server. "Omdat via LDAP toegang te verkrijgen is tot vaak gevoelige informatie, kan het een doelwit zijn voor cybercriminelen. Het gaat hierbij om persoonsgegevens maar ook informatie die gebruikt kan worden om zwakke plekken in het netwerk te ontdekken", aldus het Digital Trust Center (DTC) van het ministerie van Economische Zaken.

Tijdens de patchdinsdag van december kwam Microsoft met patches voor vijf kwetsbaarheden in LDAP, waarvan er drie als kritiek zijn bestempeld. De gevaarlijkste kwetsbaarheid wordt aangeduid als CVE-2024-49112. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller, door middel van speciaal geprepareerde LDAP calls, willekeurige code binnen de context van de LDAP service op kwetsbare Domain Controllers uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De andere twee kritieke lekken (CVE-2024-49124 en CVE-2024-49127) hebben een impactscore van 8.1.

Microsoft adviseert de installatie van de beveiligingsupdates, maar geeft ook mitigatie-advies als dit niet mogelijk is. Advies dat sommige beveiligingsexpert doet verbazen. "Ze adviseren Domain Controllers van internet los te koppelen. Dat zou deze aanval stoppen, maar ik weet niet hoe praktisch dit voor de meeste bedrijven zou zijn. Ik adviseer om de patch snel te testen en uit te rollen", aldus Dustin Childs van securitybedrijf ZDI. Microsoft bestempelt de kans op daadwerkelijk misbruik van het lek als 'less likely'.

 

bron: https://www.security.nl