È stato scoperto su GitHub un falso exploit Proof-of-Concept (PoC) per la vulnerabilità LDAPNightmare tracciata come CVE-2024-49113 che viene utilizzato per distribuire malware di tipo infostealer.
La vulnerabilità LDAPNightmare è stata identificata e corretta da Microsoft nel dicembre 2024 e riguarda una falla di sicurezza nel protocollo LDAP che potrebbe permettere a un attaccante di eseguire codice arbitrario su un sistema vulnerabile.
Indice degli argomenti
Il falso exploit PoC
Trend Micro nel suo rapporto segnala che il repository GitHub dannoso conteneva un progetto in apparenza derivato dal legittimo PoC di SafeBreach Labs per CVE-2024-49113, pubblicato il primo gennaio 2025.
Questo exploit, che si presenta come un legittimo strumento per sfruttare una vulnerabilità critica nel protocollo Lightweight Directory Access Protocol (LDAP) di Microsoft, è in realtà un veicolo per diffondere software dannoso.
Fonte: Trend Micro.
“Il repository dannoso contenente il PoC sembra essere un fork del creatore originale. In questo caso, i file Python originali sono stati sostituiti con l’eseguibile poc.exe che è stato compresso tramite UPX”, spiega Trend Micro, “Sebbene il repository sembri normale a prima vista, la presenza dell’eseguibile solleva sospetti a causa della sua presenza inaspettata in un progetto basato su Python”.
La catena d’attacco
Il falso exploit PoC, una volta eseguito, rilascia uno script PowerShell che crea un’attività pianificata per eseguire uno script codificato che scarica un ulteriore malware da Pastebin.
Fonte: Trend Micro.
Il malware scaricato è progettato per rubare informazioni sensibili dal sistema infetto, tra cui dettagli del computer, liste dei processi, contenuti delle directory, configurazioni di rete e aggiornamenti installati.
Tali informazioni vengono quindi raccolte e compresse in formato ZIP per poi essere esfiltrate su un server FTP esterno utilizzando credenziali hardcoded.
Fonte: Trend Micro.
Raccomandazioni di sicurezza
La scoperta di questo falso exploit PoC per LDAPNightmare evidenzia i rischi associati all’uso di strumenti non verificati per testare vulnerabilità. La prudenza e la verifica delle fonti sono essenziali per proteggere i sistemi informatici da minacce sempre più sofisticate.
L’uso di un falso exploit PoC per distribuire malware sottolinea l’importanza di verificare l’autenticità degli exploit prima di eseguirli. Gli utenti e gli amministratori di sistema dovrebbero essere estremamente cauti quando scaricano ed eseguono file da fonti non verificate.
È consigliabile, pertanto, utilizzare strumenti di sicurezza aggiornati e mantenere i sistemi operativi e le applicazioni sempre con le ultime patch di sicurezza.
“La protezione contro i falsi repository contenenti malware comporta l’adozione di una combinazione di misure tecniche, consapevolezza della sicurezza e best practice”, conclude Trend Micro.
Per questo attacco l’azienda di sicurezza ha rilasciato un elenco degli indicatori di compromissione (IoC) che è utile integrare nei propri sistemi di sicurezza.
