În decembrie 2024, Microsoft a abordat două vulnerabilități critice în protocolul Windows Lightweight Directory Access Protocol (LDAP) prin lansarea lunară Patch Tuesday. Aceste vulnerabilități, CVE-2024-49112 și CVE-2024-49113, au fost considerate extrem de semnificative datorită utilizării pe scară largă a LDAP în mediile Windows.
CVE-2024-49112 este o eroare de executare a codului la distanță (RCE) care permite atacatorilor să trimită cereri LDAP special concepute pentru a executa cod arbitrar pe sistemul țintă. CVE-2024-49113, cunoscută și sub numele de LDAPNightmare, este o vulnerabilitate de refuz al serviciului (DoS) care poate fi exploatată pentru a bloca serviciul LDAP, ducând la întreruperi ale serviciului.
Exploatarea Falsă PoC: O Capcană pentru Cercetătorii de Securitate
Un exploit fals de dovadă a conceptului (PoC) pentru CVE-2024-49113 a fost creat pentru a atrage cercetătorii de securitate să descarce și să execute malware care fură informații. Această tactică, deși nu este nouă, ridică preocupări semnificative, mai ales că valorifică o problemă de tendință care ar putea afecta un număr mare de victime.
Procesul de Infectare
Depozitul rău intenționat care conține PoC pare a fi o bifurcație de la creatorul original. Fișierele Python originale au fost înlocuite cu executabilul poc.exe, împachetat folosind UPX. Când un utilizator execută fișierul, un script PowerShell este eliminat și executat în folderul %Temp%. Acest script creează o lucrare programată care execută un alt script codificat.
Exfiltrarea Informațiilor
Scriptul descarcă un alt script de pe Pastebin, care colectează adresa IP publică a mașinii victimei și o încarcă folosind FTP. Informațiile colectate includ:
- Informații despre computer
- Lista de procese
- Liste de directori (Descărcări, Recente, Documente și Desktop)
- IP-uri de rețea
- Adaptoare de rețea
- Actualizări instalate
Aceste informații sunt comprimate folosind ZIP și încărcate pe un server FTP extern folosind acreditări codificate.
Concluzie
Protejarea împotriva depozitelor false care conțin malware implică adoptarea unor măsuri tehnice, conștientizare a securității și cele mai bune practici. Acestea includ descărcarea codului din depozite oficiale și de încredere, examinarea istoricului de confirmare al depozitului și căutarea recenziilor sau discuțiilor despre depozit pentru a identifica potențialele semnale de alarmă.
Pentru mai multe detalii despre vulnerabilitățile LDAP și măsurile de protecție, puteți citi articolul complet aici.