Cato CTRL 脅威レポート:CVE-2024-49112 と CVE-2024-49113 – Windows LDAPの脆弱性(「LDAPBleed」と「LDAPNightmare」)
要旨
毎日数多くのCVEが公開される中で、単なる脆弱性もあれば、深刻な脆弱性も存在します。最新のMicrosoft Windows LDAP(Lightweight Directory Access Protocol)の脆弱性は、「LDAPBleed」および「LDAPNightmare」として2度も命名されるほど危険であり、新たに発見された重大なCVEのリストに確実に含まれるべきものです。
CVE-2024-49112は「LDAPBleed」として知られるリモートコード実行(RCE)の脆弱性であり、CVE-2024-49113は「LDAPNightmare」として知られるサービス拒否(DoS)の脆弱性です。これらの脆弱性は複数のWindows Serverバージョンに影響を及ぼし、2024年12月にセキュリティ研究者Yuki Chen(X上の @guhe120)によってMicrosoftに報告されました。2025年1月1日、SafeBreach Labsの研究チームは、これらの脆弱性がどのように悪用される可能性があるかを示す概念実証(PoC)を公開しました。Cato CTRLは、この攻撃チェーンの再現に成功し、この攻撃ベクターを阻止するための防御策を開発しました。
Catoが導入した侵入防止システム(IPS)のシグネチャにより、Cato SASE Cloud Platformこの攻撃をブロックし、Catoに接続されたすべてのエッジ(拠点、リモートユーザー、クラウドリソース)を保護します。
Q2 2024 Cato CTRL SASE Threat Report | Get the Report!技術概要
影響を受けるMicrosoft Windowsのバージョン
根本的な原因
この脆弱性の根本原因は、Windows LDAPにおける整数の範囲外読み取り(Out-of-Bounds Read)にあり、これがリモートコード実行(RCE)およびサービス拒否(DoS)を引き起こします。
脆弱性の概要
2024年12月、セキュリティ研究者のYuki Chenは、CVE-2024-49112(Windows LDAP RCE、CVSSスコア9.8)およびCVE-2024-49113(Windows LDAP DoS、CVSSスコア7.5)に関する重大な脆弱性を特定し、Microsoft Security Response Center(MSRC)に報告しました。これらの脆弱性は、Active Directoryベースのネットワークの基盤となるMicrosoftの組み込みLDAPクライアントを標的としています。
これらの脆弱性をより深く理解するために、まずは今回の主役について振り返りましょう:LDAPは、ディレクトリサービスを管理するための主要なプロトコルで、企業ネットワークにおいて、認証、認可、およびリソース管理を一元化するために広く使用されています。またActive Directory(AD)に不可欠なプロトコルであり、ユーザー、グループ、デバイスの効率的なクエリ処理と管理を可能にします。LDAPのアイデンティティおよびアクセス管理(IAM)における中心的な役割を考えると、その脆弱性は非常に危険であり、機密データを露出させたり、脅威アクターに重要なシステムへの制御を許してしまう可能性があります。そのため、堅牢なセキュリティ対策が不可欠です。
SafeBreach PoCによると、これらの脆弱性はLDAPのリファラルメカニズムを悪用しています。この機能は、クエリを適切なディレクトリサービスへリダイレクトする役割を持ちます。攻撃者が制御する悪意のあるLDAPサーバーから送信されるLDAPリファラルレスポンスを操作することで、ターゲットとなるWindowsホスト上で整数オーバーフローを引き起こすことが可能になります。ターゲットホストが悪意のあるLDAPサーバーに接続するよう誘導するために、エクスプロイトコードはまずNetlogonプロトコル(DCE/RPC経由)を利用し、ターゲットのホストにLDAPリクエストを送信させます。その後、悪意のあるLDAPサーバーが巧妙に作成した応答を送信し、脆弱性を引き起こします。
デモ
公的な悪用
現時点では、Catoの顧客を標的とした悪用の試みは確認されていません。Cato CTRLチームは、ラボ環境でこの脆弱性を再現し、DoS(サービス拒否攻撃)が機能することを確認しました。しかし、完全なRCE(リモートコード実行)の実現は困難であることを確認しました。
結論
多くのWindowサーバーは、LDAPを標的とする重大なエクスプロイト「LDAPNightmare」に対して脆弱であり、SafeBreachから公開されたPoCが容易に入手可能な状態です。リスクを軽減するために不可欠な手順は以下の通りです。
- これらの脆弱性に対処するために、Microsoftがリリースしたパッチを直ちに適用してください。
- デバイスやサーバーを最新のセキュリティアップデートで常に最新の状態に保ってください。
- DCE/RPCおよびLDAPリクエストのアウトバウンド接続をブロックするなど、ベストプラクティスを実施してください。
最新のアップデートを適用し、強固なネットワークセキュリティ対策を徹底することが、企業システムを潜在的な脅威から守る上で不可欠です。
保護
Cato CTRLは「LDAPNightmare」に対する防御策をリリースし、この脅威を監視し続けています。具体的には、悪用の可能性がある経路を分析し、それが既存の防御ポリシーにどのように適合するかを評価するとともに、この問題に特化した新たな防御ロジックを導入しています。
Catoが導入した侵入防止システム(IPS)のシグネチャにより、Cato SASE Cloud Platformはこの攻撃をブロックし、Catoに接続されたすべてのエッジ(拠点、リモートユーザー、クラウドリソース)を保護します。
さらに、未知のホストからネットワークへのDCE/RPCトラフィック(インバウンド)をブロックすることを強く推奨します。ファイアウォールはこれを簡単に実現でき、Windowsサーバーの攻撃面を減らすための一般的なベストプラクティスとして推奨されます。
