Proof-of-concept exploit laat Windows Domain Controllers crashen

Proof-of-concept exploit laat Windows Domain Controllers crashen

Proof-of-concept exploit laat Windows Domain Controllers crashen

Er is een proof-of-concept exploit uitgebracht welke misbruik maakt van het al gedichtte lek in Microsoft Windows onder noemer CVE-2024-49113. Door deze PoC kunnen kwetsbare Domain Controllers crashen en rebooten door een speciaal gefabriceerd LDAP-request te sturen.

CVE-2024-49113 (score 7.5)

In de desbetreffende CVE is een out-of-bounds kwetsbaarheid beschreven waarbij kwaadwillenden met speciale input gegevens buiten de gebaande paden van de betreffende software kunnen laten komen. Dit heeft vaak als gevolg dat er een memory leak kan plaatsvinden, of dat kwaadwaardige software meer toegang kan krijgen dan strikt noodzakelijk. In sommige gevallen, zoals deze, veroorzaakt de OOB echter een memory leak waardoor uiteindelijk het LSASS proces, wat essentieel is binnen Windows, crasht en daarmee het hele systeem laat herstarten.

Patch beschikbaar

Het betreffende lek in Windows is inmiddels gepatcht door Microsoft tijdens de Patch Tuesday van december 2024, maar gezien de periode met feestdagen zullen er mogelijk nog veel systemen zijn die de update hiervoor missen.

Het is dus zaak om te zorgen dat de updates beschreven in dit artikel geïnstalleerd worden op alle Domain Controllers binnen het domein.

LDAPNightmare

Op diverse sites is inmiddels een proof-of-concept exploit gepubliceerd waarmee met één enkel script een Domain Controller kan laten crashen.

Dit werkt grofweg als volgt:

  1. Aanvaller stuurt een speciaal DCE/RPC-request naar een Domain Controller
  2. Deze kan dit niet intern resolven en forward het request naar een publieke DNS-server
  3. Deze DNS-server is in beheer van de maker van het PoC en stuurt een speciaal gefabriceerd antwoord terug
  4. Door dit antwoord treedt het probleem op, crasht het LSASS proces en moet het hele systeem herstarten om dit te herstellen

Doordat Domain Controllers essentieel zijn binnen Windows-domeinen kan dit grote gevolgen hebben, in sommige gevallen moeten ook andere servers volledig herstart worden voordat ze het Active Directory domein weer kunnen vinden.

Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?

Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.

Meer weten? Neem contact met ons op!

Neem contact met ons op

Meer artikelen

  • Wat is een man‑in‑the‑middle‑aanval?
    Wat is een man‑in‑the‑middle‑aanval? Een aanvaller gaat als tussenstation fungeren tussen de gebruiker en de legitieme e‑maildienst. Je denkt in te loggen op een vertrouwde pagina, maar in werkelijkheid communiceer je met de aanvaller. Zo onderschept hij je inloggegevens.
  • Sterke toename van ‘ClickFix’-aanvallen
    De digitale wereld is continu in beweging, en helaas geldt dat ook voor cybercriminelen. In 2025 zien we een opvallende toename van een nieuwe vorm van social engineering: ClickFix.
  • Eén op de vier ransomware-slachtoffers krijgt data niet terug na betaling
    Uit een rapport van cybersecuritybedrijf Delinea is gebleken dat één op de vier slachtoffers van ransomware de data niet of niet helemaal terug heeft gekregen na het betalen van het losgeld.
  • Politie haalt veelgebruikte malware-tool offline
    De politie heeft de malware-testdienst AVCheck offline gehaald, waarmee cybercriminelen hun software onzichtbaar maakten voor antivirusprogramma’s. Deze actie, onderdeel van een internationale operatie, verstoort de verspreiding van malware en voorkomt nieuwe slachtoffers.
  • Microsoft maakt nieuwe accounts standaard wachtwoordloos
    Microsoft maakt nieuwe accounts standaard wachtwoordloos, waarbij gebruikers inloggen via passkeys, biometrie of verificatiecodes.