Критическая уязвимость Windows RPC CVE-2022-26809 вызывает опасения — исправьте сейчас

Безопасность Майкрософт

Microsoft исправила новую уязвимость Windows RPC CVE-2022-26809, которая вызывает обеспокоенность у исследователей безопасности из-за ее потенциальной возможности широкомасштабных и серьезных кибератак после разработки эксплойта. Поэтому всем организациям необходимо как можно скорее применять обновления безопасности Windows.

Microsoft исправила эту уязвимость в рамках обновлений вторника исправлений за апрель 2022 года и оценила ее как «критическую», поскольку она допускает несанкционированное удаленное выполнение кода из-за ошибки в протоколе связи удаленного вызова процедур Microsoft (RPC).

В случае взлома любые команды будут выполняться с тем же уровнем привилегий, что и RPC-сервер, который во многих случаях имеет повышенные или системные разрешения, предоставляя полный административный доступ к эксплуатируемому устройству.

Протокол удаленного вызова процедур Microsoft (RPC) — это протокол связи, который позволяет процессам взаимодействовать друг с другом, даже если эти программы выполняются на другом устройстве.

RPC позволяет процессам на разных устройствах взаимодействовать друг с другом, при этом хосты RPC прослушивают удаленные подключения через порты TCP, чаще всего порты 445 и 135.

CVE-2022-26809 в прицеле

После того, как Microsoft выпустила обновления для системы безопасности, исследователи безопасности быстро увидели возможность использования этой ошибки в широко распространенных атаках, подобных тому, что мы наблюдали в случае с червем Blaster 2003 года и атаками Wannacry 2017 года с использованием уязвимости Eternal Blue.

Исследователи уже начали анализировать и публиковать технические подробности об уязвимости, которые другие исследователи и злоумышленники будут использовать для создания работающего эксплойта.

Например, исследователи из Akamai уже отследили ошибку до переполнения буфера кучи в DLL rpcrt4.dll.

«Углубившись в уязвимый код в OSF_SCALL:GetCoalescedBuffer, мы заметили, что ошибка целочисленного переполнения может привести к переполнению буфера кучи, когда данные копируются в буфер, который слишком мал для его заполнения», — объяснила Akamai в своей технической статье.

«Это, в свою очередь, позволяет записывать данные за пределы буфера в кучу. При правильном использовании этот примитив может привести к удаленному выполнению кода».

Исследователь Sentinel One Антонио Кокомацци также поиграл с ошибкой и успешно использовал ее на собственном RPC-сервере, а не на встроенной службе Windows.

Хорошей новостью является то, что для уязвимости может потребоваться определенная конфигурация RPC, но это все еще анализируется.

Антонио твит

В то время как исследователи все еще работают над выяснением всех технических деталей ошибки и способов ее надежного использования, исследователь безопасности Мэтью Хиккисоучредитель Hacker House, также занимается анализом уязвимости.

Хикки сказал BleepingComputer, что разработка эксплойта — это только вопрос времени, и что он может иметь разрушительные последствия.

«Это настолько плохо, насколько это возможно для корпоративных систем Windows, важно подчеркнуть, что люди должны применять исправление, потому что оно может проявляться в ряде конфигураций как клиентских, так и серверных служб RPC», — сказал Хикки BleepingComputer в разговоре о ошибка.

«Возможно, это станет еще одним глобальным событием, подобным WCRY, в зависимости от того, сколько времени понадобится злоумышленникам, чтобы вооружить и использовать эту уязвимость. Я ожидаю, что атаки с использованием этой уязвимости начнут нарастать в ближайшие недели».

Хикки сообщает BleepingComputer, что уязвимая DLL, rpcrt4.dll, используется не только службами Microsoft, но и другими приложениями, что еще больше увеличивает подверженность этой уязвимости.

«Основная проблема заключается в том, что, поскольку в rpcrt4.dll есть не только службы Microsoft по умолчанию, но и всевозможные сторонние приложения, которые будут затронуты, поэтому, даже если вы просто заблокируете общие порты Windows, у вас все еще может быть какое-то программное обеспечение, которое оба уязвимы в режиме клиент/сервер — такие вещи, как агенты резервного копирования, антивирус, программное обеспечение для конечных точек и даже инструменты пентеста, использующие RPC».

Уилл Дорманн, аналитик уязвимостей из CERT/CC, предупреждает, что все администраторы должны блокировать порт 445 по периметру сети, чтобы уязвимые серверы не были доступны из Интернета. Блокируя порт 445, устройства защищаются не только от удаленных злоумышленников, но и от потенциальных сетевых червей, которые могут использовать эксплойт.

Однако, если не будут установлены обновления безопасности, устройства по-прежнему будут внутренне уязвимы для злоумышленников, которые скомпрометируют сеть.

будет чирикать

Поскольку эта уязвимость идеальна для бокового распространения в сети, мы почти наверняка увидим, как в будущем она будет использоваться бандами вымогателей.

Хотя сейчас не время паниковать по поводу этой уязвимости, администраторы должны сделать исправление этих устройств приоритетом, поскольку эксплойт может быть выпущен в любое время.

Как только эксплойт выпущен, злоумышленникам обычно требуется совсем немного времени, чтобы использовать его в атаках.

Leave a Comment