A falha crítica do Windows RPC CVE-2022-26809 gera preocupações agora

A Microsoft corrigiu uma nova vulnerabilidade de RPC do Windows CVE-2022-26809 que preocupa os pesquisadores de segurança devido ao seu potencial para ataques cibernéticos significativos e generalizados quando uma exploração é desenvolvida. Portanto, toda organização deve aplicar as atualizações de segurança do Windows o mais rápido possível.

A Microsoft corrigiu essa vulnerabilidade como parte das atualizações do Patch Tuesday de abril de 2022 e a classificou como "crítica", pois permite a execução remota não autorizada de código por meio de um bug no protocolo de comunicação de chamada de procedimento remoto (RPC) da Microsoft.

Se explorados, quaisquer comandos serão executados com o mesmo nível de privilégio que o servidor RPC, que em muitos casos tem permissões de nível SYSTEM ou elevadas, dando acesso administrativo total ao dispositivo explorado.

O protocolo Remote Procedure Call (RPC) da Microsoft é um protocolo de comunicação que permite que os processos se comuniquem entre si, mesmo que esses programas estejam sendo executados em outro dispositivo.

O RPC permite que processos em diferentes dispositivos se comuniquem uns com os outros, com hosts RPC escutando conexões remotas em portas TCP, mais comumente as portas 445 e 135.

CVE-2022-26809 na mira

Depois que a Microsoft lançou atualizações de segurança, os pesquisadores de segurança rapidamente viram o potencial desse bug ser explorado em ataques generalizados, semelhante ao que vimos com o worm Blaster de 2003 e os ataques Wannacry de 2017 usando a vulnerabilidade Eternal.

Os pesquisadores já começaram a analisar e publicar detalhes técnicos sobre a vulnerabilidade, que outros pesquisadores e agentes de ameaças usarão para montar uma exploração viável.

Por exemplo, os pesquisadores da Akamai já localizaram o bug em um estouro de buffer de heap na DLL rpcrt4.dll.

"Ao investigar o código vulnerável em OSF_SCALL: GetCoalescedBuffer, notamos que o bug de estouro de número inteiro pode levar a um estouro de buffer de heap, onde os dados são copiados para um buffer pequeno demais para preenchê-lo", explicou a Akamai em seu comunicado. relatório.

"Isso, por sua vez, permite que os dados sejam gravados fora dos limites do buffer, no heap. Quando explorado adequadamente, esse primitivo pode levar à execução remota de código."

O pesquisador do Sentinel One, Antonio Cocomazzi, também brincou com o bug e o explorou com sucesso em um servidor RPC personalizado, não em um serviço interno do Windows.

A boa notícia é que pode exigir que uma configuração de RPC específica seja vulnerável, mas isso ainda está sendo analisado.

Enquanto os pesquisadores ainda estão trabalhando para descobrir todos os detalhes técnicos do bug e como explorá-lo de forma confiável, o pesquisador de segurança Mateo Hickey, cofundador da Hacker House, também está analisando a vulnerabilidade.

Hickey disse ao BleepingComputer que é apenas uma questão de tempo até que um exploit seja desenvolvido e que pode ter o potencial de resultados prejudiciais.

"Por pior que seja para sistemas Windows corporativos, é importante enfatizar que as pessoas devem aplicar o patch porque ele pode aparecer em várias configurações de serviço RPC de cliente e servidor", disse Hickey ao BleepingComputer em uma conversa sobre o problema.

"Este tem o potencial de ser outro evento global semelhante ao WCRY, dependendo de quanto tempo leva para os invasores se armarem e explorarem. Espero que os ataques comecem a aumentar com essa vulnerabilidade nas próximas semanas."

Hickey diz ao BleepingComputer que a DLL vulnerável, rpcrt4.dll, não é usada apenas pelos serviços da Microsoft, mas também por outros aplicativos, aumentando ainda mais a exposição dessa vulnerabilidade.

"O principal problema é que, por estar dentro do rpcrt4.dll, não há apenas serviços padrão da Microsoft, mas todos os tipos de aplicativos de terceiros que serão afetados, portanto, mesmo que você bloqueie as portas comuns do Windows, você ainda pode ter alguns software que é vulnerável no modo cliente/servidor, como agentes de backup, antivírus, software de endpoint e até mesmo ferramentas de pentest que usam RPC."

Will Dormann, analista de vulnerabilidades do CERT/CC, aconselha que todos os administradores bloqueiem a porta 445 no perímetro da rede para que os servidores vulneráveis ​​não sejam expostos à Internet. Ao bloquear a porta 445, os dispositivos não são apenas protegidos contra agentes remotos de ameaças, mas também contra possíveis worms de rede que podem usar a exploração.

No entanto, a menos que as atualizações de segurança sejam instaladas, os dispositivos permanecem internamente vulneráveis ​​a agentes de ameaças que comprometem uma rede.

Como essa vulnerabilidade é ideal para se espalhar lateralmente em uma rede, é quase certo que a veremos usada por gangues de ransomware no futuro.

Embora não seja hora de entrar em pânico com essa vulnerabilidade, os administradores devem priorizar a correção desses dispositivos, pois uma exploração pode ser lançada a qualquer momento.

Depois que um exploit é lançado, geralmente leva pouco tempo para que os agentes de ameaças o tornem uma arma em ataques.

  • Usuários de aplicativos de pagamento alvos de ataques de engenharia social
  • A maneira mais rápida de fazer anotações de voz no Android

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

O que é uma carga fantasma?

Ir arriba