Un exploit trompeur de validation de principe (PoC) pour CVE-2024-49113 (alias « LDAP Nightmare ») sur GitHub infecte les utilisateurs avec un logiciel malveillant infostealer qui exfiltrerait des données sensibles vers un serveur FTP externe.
La tactique n’est pas nouvelle, car il y a eu plusieurs cas documentés d’outils malveillants déguisés en exploits PoC sur GitHub.
Cependant, ce cas, découvert par Trend Micro, met en évidence que les acteurs de la menace continuent d’utiliser cette tactique pour inciter les utilisateurs sans méfiance à s’infecter eux-mêmes avec des logiciels malveillants.
Un exploit trompeur
Trend Micro signale que le référentiel GitHub malveillant contient un projet qui semble avoir été dérivé du PoC légitime de SafeBreach Labs pour CVE-2024-49113, publié le 1er janvier 2025.
La faille est l’une des deux affectant le protocole LDAP (Lightweight Directory Access Protocol) de Windows, que Microsoft a corrigée dans son Patch Tuesday de décembre 2024, l’autre étant un problème critique d’exécution de code à distance (RCE) suivi sous le numéro CVE-2024-49112.
Le billet de blog initial de SafeBreach sur le PoC mentionnait à tort CVE-2024-49112, alors que leur PoC concernait CVE-2024-49113, qui est une vulnérabilité de déni de service de gravité inférieure.
Cette erreur, même corrigée plus tard, a suscité un intérêt et un buzz accrus autour de LDAPNightmare et de son potentiel d’attaques, ce dont les acteurs de la menace ont probablement tenté de tirer parti.
Les utilisateurs téléchargeant le PoC à partir du référentiel malveillant obtiendront un poc exécutable contenant UPX .exe ‘ qui, lors de l’exécution, dépose un script PowerShell dans le dossier %Temp% de la victime.
Le script crée une tâche planifiée sur le système compromis, qui exécute un script codé qui récupère un troisième script à partir de Pastebin.
Cette charge utile finale collecte des informations sur l’ordinateur, des listes de processus, des listes de répertoires, des adresses IP et des informations sur la carte réseau, ainsi que des mises à jour installées, et les télécharge sous forme d’archive ZIP sur un serveur FTP externe à l’aide d’informations d’identification codées en dur.
Une liste des indicateurs de compromission pour cette attaque peut être trouvée ici.
Les utilisateurs de GitHub qui recherchent des exploits publics à des fins de recherche ou de test doivent faire preuve de prudence et, idéalement, ne faire confiance qu’aux entreprises de cybersécurité et aux chercheurs ayant une bonne réputation.
Les auteurs de menaces ont tenté de se faire passer pour des chercheurs en sécurité bien connus dans le passé, il est donc également crucial de valider l’authenticité du référentiel.
Si possible, examinez le code avant de l’exécuter sur votre système, téléchargez des binaires sur VirusTotal et ignorez tout ce qui semble obscurci.