Поскольку уязвимость идеальна для бокового перемещения по сети, ее могут взять на вооружение операторы вымогательского ПО.

Компания Microsoft исправила новую уязвимость в коммуникационном протоколе Windows Remote Procedure Call (RPC), вызвавшую большое беспокойство у исследователей безопасности из-за своего повсеместного распространения и потенциального масштаба кибератак, которые станут возможными после появления эксплоита.

Уязвимость (CVE-2022-26809) была исправлена 12 апреля в рамках ежемесячного «вторника исправлений». Проблема отмечена как критическая, поскольку позволяет неавторизованному удаленному злоумышленнику выполнить код.

Проэксплуатировав уязвимость, злоумышленник сможет выполнять любые команды с привилегиями RPC-сервера, которые во многих случаях повышены до уровня системы и предоставляют полный административный доступ к атакуемому устройству.

RPC представляет собой протокол связи, позволяющий процессам взаимодействовать друг с другом, даже если эти программы запущены на другом устройстве. RPC позволяет процессам на разных устройствах коммуницировать между собой, при этом хосты RPC слушают удаленные соединения через порты TCP, чаще всего 445 и 135.

После выхода исправлений исследователи безопасности быстро осознали потенциал эксплуатации уязвимости. По их словам, проблема позволяет осуществлять широкомасштабные атаки наподобие червя Blaster в 2003 году и WannaCry в 2017 году.

Исследователи уже начали публиковать результаты своих исследований уязвимости, которыми могут воспользоваться хакеры для создания эксплоита. К примеру, специалисты компании Akamai отследили баг до переполнения буфера в rpcrt4.dll DLL.

Исследователю Sentinel One Антонио Кокомацци (Antonio Cocomazzi) удалось успешно проэксплуатировать уязвимость на кастомном сервере RPC.

Хорошая новость заключается в том, что уязвимыми являются только определенные конфигурации RPC.

Аналитик CERT/CC Уилл Дорманн (Will Dormann) рекомендовал администраторам заблокировать порт 445 в сетевом периметре, чтобы уязвимые серверы не были доступны через интернет. Блокировка порта обезопасит не только от внешних атак, но также от возможных сетевых червей, которые попытаются проэксплуатировать уязвимость. Тем не менее, если не установить исправления от Microsoft, устройства все равно будут уязвимы к атакам хакеров, уже присутствующих в сети.

Поскольку уязвимость идеальна для бокового перемещения по сети, уже совсем скоро ее могут взять на вооружение операторы вымогательского ПО.

Источник: securitylab