В декабре 2024 года Microsoft выпустила патчи для двух критических уязвимостей в протоколе Windows Lightweight Directory Access Protocol (LDAP), оба эксплойта признаны значимыми из-за широкого использования LDAP в Windows.
Описание
Один эксплойт позволяет злоумышленникам выполнять код на целевой системе, а другой может вызывать отказ обслуживания. В этой записи блога описывается поддельный эксплойт для уязвимости отказа обслуживания (CVE-2024-49113), который был создан для привлечения исследователей безопасности и захвата информации. Этот эксплойт использует PowerShell сценарий и создает задание, которое выполняет загруженный сценарий. Затем загружается другой сценарий с Pastebin, который собирает информацию о компьютере, процессах, каталогах, IP-адресах и т. д. Эта информация затем отправляется на внешний FTP-сервер. Атака вызывает опасения из-за использования актуальной уязвимости, которая может затронуть множество жертв.
Indicators of Compromise
URLs
- ftp://ftp.drivehq.com/wwwhome/
- ftp://ftpupload.net/htdocs
- https://pastebin.com/raw/9TxS7Ldc
SHA1
- d4a35487b95cc2b44395047717358bb2863a5311
- ef4ba8eef919251f7502c7e66926bb3a5422065b