Microsoft, bir istismarın geliştirildikten sonra yaygın, önemli cyberattacks potansiyeli nedeniyle güvenlik araştırmacıları arasında endişeleri artıran yeni bir Windows RPC CVE-202226809 güvenlik açığı düzeltti. Bu nedenle, tüm kuruluşun Windows Güvenlik Güncellemelerini en kısa sürede uygulamaları gerekir.
Microsoft, bu güvenlik açığını Nisan 2022 yamasının bir parçası olarak düzeltdi ve Microsoft Remote Prosedür Call (RPC) iletişim protokolünde bir hata yoluyla izinsiz uzaktan kod yürütülmesini izin verdiği için 'kritik' olarak değerlendirildi.
Kullanılırsa, herhangi bir komut, birçok durumda, sömürülen cihaza tam idari erişim sağlayan RPC sunucusu ile aynı imtiyaz seviyesinde yürütülecektir.
Microsoft Remote Prosedür Call (RPC) protokolü, bu programlar başka bir cihazda çalışsa bile, işlemlerin birbirleriyle iletişim kurmalarını sağlayan bir iletişim protokolüdür.
RPC, farklı cihazlardaki işlemlerin birbirleriyle iletişim kurması için, RPC, en yaygın olarak 445 ve 135 bağlantı noktalarının TCP bağlantı noktaları üzerindeki uzak bağlantılar için dinlerken bulunur.
Microsoft'un güvenlik güncelleştirmelerini yayınladıktan sonra, güvenlik araştırmacıları, 2003 Blaster Solucan ve Ebedi Mavi Güvenlik Açığı'nı kullanan 2017 Wannacry saldırılarıyla gördüğümüze benzer şekilde, bu hatanın yaygın saldırılarda sömürülmesi potansiyelini hızla gördü.
Araştırmacılar zaten, diğer araştırmacıların ve tehdit aktörlerinin işlenebilir bir istismarın içine parçalanması için kullanacağı güvenlik açığı hakkında teknik detayları analiz etmeye ve yayınlamaya başlamıştır.
Örneğin, Akamai'deki araştırmacılar, Hatayı RPCRT4.dll DLL dosyasındaki bir yığın tampon taşmasına kadar çoktan takip etti.
"OSF_SCALL'daki savunmasız kodlara daha derine dalma: GetcoAlescedBuffer, tamsayı taşma hatasının, teknik yazılarında açıkladığı bir yığın arabelleğinin taşmasına neden olabileceğini fark ettik" dedi.
"Bu, bu da, verilerin tamponun sınırlarından, yığın üzerinde yazılmasını sağlar. Düzgün bir şekilde sömürülürken, bu ilkel uzak kod yürütülmesine yol açabilir."
Sentinel One Araştırmacı Antonio Cocomazzi de hatayla oynadı ve dahili bir Windows hizmeti değil, özel bir RPC sunucusunda başarıyla yararlandı.
İyi haber şu ki, belirli bir RPC konfigürasyonunun savunmasız olması gerekmesi, ancak bu hala analiz ediliyor olmasıdır.
Araştırmacılar hala hatanın tam teknik detaylarını ve güvenilir bir şekilde yararlanılacağı konusunda hala çalışıyor olsa da, Hacker House'un kurucusu olan Güvenlik Araştırması Matthew Hickey, aynı zamanda kırılganlığı analiz ediyor.
Hickey, BleepingComputer'a bir sömürü geliştirene kadar sadece bir zaman meselesi olduğunu ve sonuçlara zarar verme potansiyeline sahip olabileceğini söyledi.
HICKEY, "Windows Kurumsal Sistemler için alabileceği kadar kötü, insanların yamayı uygulaması gerektiğinin, hem müşteri hem de sunucu RPC hizmetlerinin bir dizi yapılandırmasında yüzey yapabilecekleri strese neden olması önemlidir" dedi. böcek.
"Bu, saldırganların ne kadar sürdüğüne bağlı olarak WCRY'ye benzeyen bir diğer küresel olay olma potansiyeline sahiptir. Saldırıların önümüzdeki haftalarda bu kırılganlıktan dolayı saldırmaya başlamasını beklerdim."
Hickey, BleepingComputer'ı savunmasız DLL, RPCRT4.DLL, yalnızca Microsoft Services tarafından değil, diğer uygulamalar tarafından da kullanmadığını, bu güvenlik açığının ortaya çıkmasını daha da arttırdığını söyler.
"Ana konu, çünkü rpcrt4.dll içinde olduğu için, yalnızca varsayılan Microsoft hizmetleri değil, etkilenecek olan üçüncü taraf uygulamalarının her şekilde olmasın, bu yüzden ortak Windows bağlantı noktalarını engelleyseniz bile, yine de bazı yazılımlar olabilir. her ikisi de müşteri / sunucu modunda savunmasızdır - yedek ajanlar, virüsten koruma, uç nokta yazılımı, hatta RPC kullanan pentest araçları gibi şeyler. "
Cert / CC'de güvenlik açığı analisti olan Dormann, tüm yöneticilerin tüm yöneticilerin ağ çevresinde 445 numaralı bağlantı noktasını engellemesi gerektiğini, böylece savunmasız sunucuların internete maruz kalmadığından. 445 numaralı bağlantı noktasını engelleyerek, cihazlar sadece uzak tehdit aktörlerinden değil, aynı zamanda desteği kullanabilen potansiyel ağ solucanlarından da korunmaz.
Dormann, şu anda, 445 numaralı bağlantı noktasını internete maruz bırakan 1.3 milyondan fazla cihaz bulunduğunu söylüyor ve istismar etmek için büyük bir hedef havuzu sunuyor.
Bununla birlikte, yöneticilerin çevresinde 445 ve 135 numaralı bağlantı noktasını engelse bile, yeterli değildir. Güvenlik güncellemeleri kurulmadığı sürece, cihazlar bir ağdan ödün veren tehdit aktörlerine hala dahili olarak savunmasız olacaktır.
Bu güvenlik açığı bir ağda lateral olarak yaymak için ideal olduğu için, gelecekte fidyeware çeteleri tarafından kullandığını hemen hemen göreceğiz.
Bu güvenlik açığı hakkında paniğe geçme zamanı gelmiş olsa da, bir istismarın herhangi bir zamanda serbest bırakılabileceği için, bu cihazları bir öncelikli hale getirmesi gerekir.
Bir istismarın serbest bırakıldığında, genellikle tehdit aktörlerini yalnızca saldırılarda silahlandırmak için kısa bir süre alır.
Microsoft Nisan 2022 Yama Salı Düzeltmeler 119 Kusurlar, 2 Sıfır Gün
Microsoft: Windows Server artık otomatik .NET güncellemelerini destekliyor
Microsoft: Yeni Malware, zamanlanmış görevleri gizlemek için Windows hatasını kullanıyor
Microsoft: Windows Autopatch, Patch Salı günleri 'eğlenceli' çalıyor
Mirai Malware şimdi Spring4shell'i kullanarak teslim edildi
Kaynak: Bleeping Computer