Vulnerabilidades Graves en el Protocolo LDAP de Windows (CVE-2024-49113, CVE-2024-49112)

En el día de ayer, 7 de enero de 2025, se ha actualizado unas vulnerabilidades críticas descubiertas unas semanas atrás que afectan al protocolo LDAP de Windows, designadas como CVE-2024-49113 y CVE-2024-49112 con un score del 9.8/10. Estas representan un riesgo significativo para la seguridad de las infraestructuras corporativas, especialmente aquellas que dependen de Active Directory. En fechas recientes se han liberado diferentes pruebas de concepto que potencialmente permiten explotar estas vulnerabilidades, por lo que es muy importante asegurar estos entornos.

Todos los clientes de Occentus Network que cuenten con sistemas vulnerables gestionados por nosotros, ya han sido actualizados o habrán recibido una notificación para planificar de forma urgente la corrección de estas vulnerabilidades. Si tiene cualquier duda, contacte con nuestro soporte 24/7.

Detalles de las Vulnerabilidades

CVE-2024-49112 (Ejecución Remota de Código)

Esta vulnerabilidad permite a un atacante remoto no autenticado enviar respuestas CLDAP (Connectionless LDAP) especialmente diseñadas que pueden ejecutar código arbitrario en el sistema afectado. La forma de identificar y detectar un potencial atacante es:

• Monitorización del Tráfico: Analizar el tráfico mediante nuestras sondas o en su defecto también con herramientas como Wireshark para capturar y analizar el tráfico en el puerto UDP 389, identificando respuestas CLDAP inusuales o malformadas.
• Registros del Sistema: Revisar los registros de eventos de seguridad en busca de intentos de conexión LDAP sospechosos o fallidas.

CVE-2024-49113 (Denegación de Servicio)

Esta vulnerabilidad permite a un atacante remoto no autenticado enviar respuestas CLDAP manipuladas que pueden causar que el servicio LDAP del servidor se bloquee, resultando en una denegación de servicio. La forma de identificar y detectar un potencial atacante es:

• Monitorización del Tráfico: Analizar el tráfico en el puerto UDP 389 para detectar patrones que indiquen intentos de explotación, como un aumento repentino en el volumen de paquetes CLDAP.
• Registros del Sistema: Buscar eventos que indiquen fallos o reinicios inesperados del servicio LDAP.

Ambas vulnerabilidades afectan principalmente a sistemas Windows Server 2019 y 2022 que no han aplicado las últimas actualizaciones de seguridad.

Riesgos Asociados

La gravedad de estas vulneabilidades radica en que un potencial atacante puede comprometer la totalidad del sistema con un esfuerzo mínimo:

• Compromiso total del sistema: Los atacantes podrían tomar control del servidor, acceder a información sensible y escalar privilegios.
• Interrupciones en los servicios: Una denegación de servicio podría inutilizar sistemas críticos como Active Directory, afectando la autenticación de usuarios y el acceso a recursos.

Recomendaciones y estrategias de mitigación

1. Aplicar de inmediato los Parches de Seguridad
   • Microsoft ha publicado actualizaciones de seguridad que abordan estas vulnerabilidades. Es esencial aplicar estos parches de inmediato para proteger los sistemas afectados.
2. Restricción del Acceso a Puertos LDAP/CLDAP
   • Filtrado de Puertos: Configure firewalls para restringir el acceso entrante y saliente a los puertos LDAP (TCP/UDP 389) y LDAPS (TCP 636) únicamente a sistemas autorizados.
   • Deshabilitar CLDAP: Si no es necesario para las operaciones de su organización, considere deshabilitar el servicio CLDAP para reducir la superficie de ataque.
3. Implementación de Políticas de Seguridad Adicionales
   • Autenticación y Cifrado: Asegúrese de que las conexiones LDAP utilicen LDAPS para cifrar las comunicaciones y requieran autenticación sólida.
   • Monitoreo y Alertas: Implemente sistemas de detección de intrusos (IDS) y configure alertas para actividades inusuales relacionadas con LDAP.
4. Soluciones Temporales (Workarounds)
   • Limitación de Respuestas CLDAP: Configure el servidor para limitar o deshabilitar las respuestas CLDAP no solicitadas, reduciendo la posibilidad de explotación.
   • Actualización de Políticas de Firewall: Aplique reglas temporales en el firewall para bloquear el tráfico CLDAP desde fuentes no confiables hasta que se puedan aplicar los parches oficiales.

Recursos y Referencias

• Boletín de Seguridad de Microsoft – Diciembre 2024
• Análisis de la Vulnerabilidad CVE-2024-49113 en Microsoft

En Occentus Network, ofrecemos servicios de supervisión y consultoría en ciberseguridad para asegurar sus sistemas frente a las últimas amenazas. Nuestro equipo de expertos está disponible para ayudarle a implementar medidas preventivas y garantizar la continuidad de su negocio.