alphatin123/CVE-2024-49113

# CVE-2024-49113 — Windows LDAP 拒绝服务 (DoS) 漏洞 PoC # 绕过 Windows Server 和商业 EDR ## ⚠️ 免责声明 本仓库仅用于**教育和授权安全研究目的**。 在未获得系统所有者**明确的书面许可**的情况下，请勿将其用于任何系统。 作者对代码的滥用不承担任何责任。 ## 漏洞概述 | 字段 | 详情 | |-------|--------| | CVE ID | CVE-2024-49113 | | 受影响组件 | Windows 轻量级目录访问协议 (LDAP) | | 漏洞类型 | 拒绝服务 (DoS) | | 攻击向量 | 网络（未经身份验证） | | 受影响系统 | Windows Server 2019、2022；Windows 10/11（未修补） | | 补丁情况 | 已发布 — KB5048239（2024 年 12 月） | ### 根本原因 未修补的 Windows 系统在**端口 389 上以未加密方式暴露 LDAP**，允许远程攻击者通过格式错误的 LDAP 请求触发崩溃，导致系统关闭或重启 (DoS)。 Windows 系统安全边界薄弱 绕过 Windows EDR 的技术技巧未公开 #道德责任 ## 发现与研究过程 该漏洞作为我关于自动化漏洞扫描和漏洞利用开发的毕业设计的一部分进行了调查。 **研究方法：** 1. 使用 **Nmap** 进行自动化网络扫描，以识别开放 389 端口的主机 2. 使用 **Nessus**（针对 LDAP 暴露的插件）进行漏洞验证 3. 在隔离的实验室环境中（Windows Server 2022 虚拟机）复现 DoS 条件 4. 记录攻击向量、影响和补救措施 ## 仓库内容 ``` ├── exploit/ │ └── LdapNightmare.py # PoC — lab use only | └── logger.py | └── rpc_call.py ``` ## 补救措施（防御视角） 这是最重要的部分——了解如何修复它： 1. 立即**应用 Microsoft 补丁 KB5048239**（2024 年 12 月的星期二补丁日） 2. 在防火墙级别**阻止端口 389（未加密的 LDAP）**；仅强制使用 LDAPS（端口 636） 3. 通过组策略**禁用旧版 LDAP**：`Network security: LDAP client signing requirements → Require signing` 4. 使用针对端口 389 大量连接的 SIEM 规则**监控异常 LDAP 流量** 5. **风险处置**（ISO 27001 附录 A）： - A.8.8 — 技术漏洞管理 - A.8.20 — 网络安全控制 ## 实验室环境 所有测试均在**隔离的离线虚拟实验室**中进行： - VMware Workstation（仅主机网络） - Windows Server 2019（未修补，为刻意设置的易受攻击目标） - Kali Linux（攻击机） 未涉及任何生产或第三方系统。 ## 参考 - [Microsoft 安全通报 — CVE-2024-49113](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113) - [NVD 条目](https://nvd.nist.gov/vuln/detail/CVE-2024-49113) - NIST SP 800-115 — 信息安全测试技术指南 - ISO/IEC 27001:2022 附录 A 控制 ## 联系方式 **Tim Shing** 📧 aae12518@gmail.com 🔗 [LinkedIn](https://linkedin.com/in/timshing) 📍 香港

标签：Checkov, CISA项目, CTI, CVE-2024-49113, DoS攻击, EDR检测盲区, EDR绕过, ISO 27001, KB5048239, LDAP拒绝服务, Nessus, Nmap, PoC, Python, Windows LDAP, Windows Server 2019, 企业安全, 反取证, 威胁防御, 安全评估, 无后门, 暴力破解, 未授权攻击, 毕业设计, 漏洞修复, 漏洞复现, 端点安全, 网络安全, 网络安全培训, 网络资产管理, 虚拟驱动器, 补丁管理, 逆向工具, 隐私保护, 高交互蜜罐