Исследователи обеспокоены из-за уязвимости CVE-2022-26809, которую Microsoft недавно исправила в Windows RPC. Дело в том, что, по мнению экспертов, после создания и публикации эксплоита для этой проблемы, она может использоваться для широкомасштабных и серьезных атак.
Баг был классифицирован как критический и получил 9,8 балла по шкале оценки уязвимостей CVSS, поскольку допускает удаленное выполнение кода. Проблема была обнаружена в протоколе Microsoft Remote Procedure Call (RPC), то есть в случае взлома любые команды будут выполняться с тем же уровнем привилегий, что у RPC-сервера, который часто имеет повышенные права или привилегии уровня SYSTEM, предоставляя полный административный доступ к устройству.
Протокол RPC позволяет процессам взаимодействовать друг с другом, даже если эти программы выполняются на разных устройствах, и при этом хосты RPC «слушают» удаленные подключения через порты TCP, чаще всего — 445 и 135
После выхода патча ИБ-исследователи быстро заметили, что эту ошибку можно применять в масштабных атака, как это было с червем Blaster в 2003 году или эпидемией шифровальщика WannaCry в 2017 году.
Эксперты уже начали анализировать и публиковать технические подробности уязвимости, которые другие специалисты и злоумышленники в будущем смогут использовать для создания работающего эксплоита. Например, компания Akamai уже отследила проблему до переполнения буфера хипа в rpcrt4.dll.
В свою очередь, специалист Sentinel One Антонио Кокомацци уже успешно использовал баг на собственном RPC-сервере, а не на встроенной службе Windows. Хорошей новостью является то, что для эксплуатации уязвимости, похоже, нужна определенная конфигурация RPC, хотя пока это еще проверяется.
Другой известный ИБ-эксперт, Мэтью Хикки, рассказал изданию Bleeping Computer, что тоже изучает свежую проблему и она «настолько плоха, насколько это вообще возможно для корпоративных Windows- систем».
«Возможно, это станет еще одним глобальным инцидентом, подобным WCRY, в зависимости от того, сколько времени понадобится злоумышленникам, чтобы взять на вооружение и использовать эту уязвимость. Я ожидаю, что атаки с использованием этой проблемы начнут нарастать в ближайшие недели», — говорит Хикки, добавляя, что уязвимая rpcrt4.dll используется не только службами Microsoft, но и сторонними приложениями, что еще больше увеличивает возможную поверхность атак.
Аналитик CERT/CC Уилл Дорманн предупреждает, что все администраторы должны как можно скорее блокировать порт 445 на периметре сети, чтобы уязвимые серверы не были доступны из интернета. Блокировка этот порта защищает устройства не только от удаленных злоумышленников, но и от потенциальных атак червей, которые могут использовать эксплоит для CVE-2022-26809. По данным Дорманна, в настоящее время в сети доступны более 1,3 млн устройств с открытым портом 445, так что выбор целей для атак богат.
При этом нужно учитывать, что даже блокировки портов 445 и 135 по всему периметру может оказаться недостаточно. Без установки патчей устройства по-прежнему будут уязвимы для локальных злоумышленников, которые смогут скомпрометировать сеть компании.