Als ich den Artikel über LDAP Nightmare hier gelesen habe und via LinkedIn Florian Roth einen Beitrag von Travis Green reposted hat, dachte ich mir, die Sigma Rule im PR hier kann man doch auch für Wazuh schreiben:
<rule id="888126" level="15">
<if_sid>60003</if_sid>
<field name="win.system.eventID">^1000$</field>
<field name="win.eventdata.data" type="pcre2">(?=.*lsass.exe)(?=.*WLDAP32.dll)</field>
<description>Possible LDAP CVE-2024-49113 exploitation attempt</description>
</rule>Bei meinen Systemen hatte ich da keine großartigen False Positives, aber bitte mit Bedacht einsetzen.