RSS Zero Day Initiative - Блог
Подписаться
CVE-2024-43639: Удаленное выполнение кода в прокси KDC Microsoft Windows
Обнаружена уязвимость в прокси-сервере Центра распределения ключей Microsoft Windows (KDC), позволяющая выполнить произвольный код в контексте безопасности целевого сервиса. Уязвимость возникает из-за отсутствия проверки длины ответов Kerberos, что может привести к переполнению целого числа. Удаленный, неаутентифицированный атакующий может направить прокси-сервер KDC на передачу запроса Kerberos на сервер под его контролем, который затем отправит назад сконструированный ответ Kerberos. Прокси-сервер KDC читает 4 байта из сетевого сокета, чтобы получить длину ответа Kerberos, но не проверяет длину, что позволяет переполнению целого числа. Уязвимость срабатывает, когда прокси-сервер KDC пытается прочитать полный ответ, и поток кода чередуется между функциями прокси-сервера KDC и библиотекой Microsoft ASN.1. Уязвимость может быть эксплуатирована путем отправки сконструированного ответа Kerberos на прокси-сервер KDC, который затем обернет его в сообщение прокси-сервера KDC и вернет его клиенту. Уязвимость была исправлена Microsoft, и пользователям рекомендуется применить патч, чтобы предотвратить эксплуатацию. Уязвимость затрагивает операционные системы Microsoft Windows Server и может быть эксплуатирована удаленно. Прокси-сервер KDC используется для включения удаленных рабочих нагрузок, таких как RDP Gateway и DirectAccess, и обычно запускается на машинах, присоединенных к домену.