مایکروسافت به عنوان بخشی از اصلاحیههای امنیتی ماه دسامبر، جزئیات یک آسیبپذیری حیاتی اجرای کد از راه دور (RCE) با شناسه CVE-2024-49112 و امتیاز CVSS 9.8، را فاش کرد که بر Lightweight Directory Access Protocol (LDAP) ویندوز-یک پروتکل بین پلتفرمی پرکاربرد برای احراز هویت سرویسهای دایرکتوری- تأثیر میگذارد.
در صورتی که مهاجم احراز هویت نشده با موفقیت از این آسیبپذیری سوء استفاده کند، میتواند با ارسال مجموعهای از درخواستهای LDAP، کد دلخواه را در چارچوب سرویس LDAP اجرا کند. اکسپلویت CVE-2024-49112 همچنین میتواند با دو آسیبپذیری دیگر که توسط مایکروسافت در 11 دسامبر فاش شده است ترکیب شده و منجر به تشدید خطر شود. در زنجیره موفقیتآمیز، نفوذگر میتواند توانایی اجرای کد دلخواه بر روی Domain Controllers را در چارچوب سرویس LDAP با دسترسی SYSTEM به دست آورد که به طور بالقوه زیرساخت شبکه حیاتی را به خطر میاندازد.
چرا CVE-2024-49112 خطرناک است؟
آسیبپذیری مذکور به سبب سهولت بهرهبرداری و امکان اجرای کد دلخواه، خطر بالایی برای سازمانها ایجاد میکند. این خطر تا حدودی با قرارگیری محدود در معرض اینترنت، مولفههای آسیبپذیر کاهش مییابد. با توجه به سهولت بهرهبرداری گزارش شده، اکسپلویت فعال در بازه زمانی کوتاه تا متوسط مورد انتظار است. نظر به نقش حیاتی کنترلکنندههای دامنه و سرویس LDAP در بسیاری از محیطهای سازمانی، نفوذگران احتمالاً اکسپلویت این آسیبپذیری را در اولویت قرار دهند، به خصوص اگر بتوان آن را با آسیبپذیریهای CVE-2024-49124 و CVE-2024-49127 ( امتیاز 8.1) مرتبط کرد.
اجرای کد ناشی از اکسپلویت CVE-2024-49112 در سرویس LDAP رخ میدهد که دارای سطح دسترسی بالاتری است، اما دارای دسترسی کامل SYSTEM نیست. در حالی که این امر یک سطح از محدودیت را فراهم میکند، پتانسیل متصل شدن این آسیبپذیری با اکسپلویتهای دیگری مانند CVE-2024-49124 و CVE-2024-49127 به طور قابل توجهی خطر را افزایش میدهد. اگر این آسیبپذیریها با هم مورد سوء استفاده قرار گیرند، مهاجم میتواند دسترسیهای خود را ارتقا دهد و به طور بالقوه دسترسی در سطح سیستم را به دست آورد.
سیستمهای تحت تأثیر
- Windows 10 Version 1507
- Windows 10 Version 1607
- Windows 10 Version 1809
- Windows 10 Version 21H2
- Windows 10 Version 22H2
- Windows 11 version 22H2
- Windows 11 version 22H3
- Windows 11 Version 23H2
- Windows 11 Version 24H2
- Windows Server 2008 Service Pack 2 (incl. Server Core installation)
- Windows Server 2008 R2 Service Pack 1 (incl. Server Core installation)
- Windows Server 2012 (incl. Server Core installation)
- Windows Server 2012 R2 (incl. Server Core installation)
- Windows Server 2016 (incl. Server Core installation)
- Windows Server 2019 (incl. Server Core installation)
- Windows Server 2022 (incl. Server Core installation)
- Windows Server 2022, 23H2 Edition (Server Core installation)
- Windows Server 2025 (incl. Server Core installation)
راهکارهای امنیتی
در حالی که هنوز اکسپلویت به طور عمومی شناسایی نشده است، سهولت بهرهبرداری و تأثیر بالقوه، این آسیبپذیری را به تهدید مهمی تبدیل میکند. سازمانها باید فوراً وصلههای منتشر شده را به عنوان بخشی از اصلاحیههای ماهانه مایکروسافت جهت کاهش خطر اعمال کنند. با توجه به ماهیت حیاتی کنترلکنندههای دامنه و پتانسیل حرکت جانبی در شبکه یک سازمان، ضروری است که این آسیبپذیری در اسرع وقت برطرف شود.
مایکروسافت برای کاهش خطرات مرتبط با نقص مذکور، قویاً به سازمانها توصیه کرد:
✅ وصلهها را فوراً اعمال کنید: بهروزرسانیهای امنیتی منتشر شده به عنوان بخشی از وصله سهشنبه دسامبر مایکروسافت را برای رفع نقص CVE-2024-49112 و آسیبپذیریهای مرتبط نصب کنید.
✅ محدودسازی دسترسی به کنترلکنندههای دامنه: در صورت امکان، کنترلکنندههای دامنه را برای جلوگیری از قرار گرفتن در معرض اینترنت و محدودسازی Remote Procedure Calls (RPCs) ورودی از شبکههای نامعتبر پیکربندی کنید.
✅ نظارت بر فعالیت غیر معمول LDAP: نظارت پیشرفته را برای شناسایی درخواستهای غیر عادی LDAP که ممکن است نشاندهنده تلاشهای اکسپلویت باشد، اعمال کنید.
