Microsoft a corrigé une nouvelle vulnérabilité Windows RPC CVE-2022-26809 qui suscite des inquiétudes parmi les chercheurs en sécurité en raison de son potentiel de cyberattaques étendues et importantes une fois qu’un exploit est développé. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité Windows dès que possible.
Microsoft a corrigé cette vulnérabilité dans le cadre des mises à jour du Patch Tuesday d’avril 2022 et l’a classée comme « critique », car elle permet l’exécution de code à distance non autorisée via un bogue dans le protocole de communication Microsoft Remote Procedure Call (RPC).
En cas d’exploitation, toutes les commandes seront exécutées au même niveau de privilège que le serveur RPC, qui, dans de nombreux cas, dispose d’autorisations élevées ou de niveau SYSTEM, offrant un accès administratif complet au périphérique exploité.
Le protocole MICROSOFT Remote Procedure Call (RPC) est un protocole de communication qui permet aux processus de communiquer entre eux, même si ces programmes s’exécutent sur un autre appareil.
RPC permet aux processus sur différents périphériques de communiquer entre eux, les hôtes RPC écoutant les connexions distantes sur les ports TCP, le plus souvent les ports 445 et 135.
CVE-2022-26809 dans la ligne de mire
Après que Microsoft ait publié des mises à jour de sécurité, les chercheurs en sécurité ont rapidement vu le potentiel d’exploitation de ce bogue dans des attaques généralisées, similaires à ce que nous avons vu avec le ver Blaster 2003 et les attaques Wannacry 2017 utilisant la vulnérabilité Eternal Blue.
Les chercheurs ont déjà commencé à analyser et à publier des détails techniques sur la vulnérabilité, que d’autres chercheurs et acteurs de la menace utiliseront pour reconstituer un exploit exploitable.
Par exemple, les chercheurs d’Akamai ont déjà suivi le bogue jusqu’à un débordement de la mémoire tampon du tas dans la DLL rpcrt4.dll.
« En approfondissant le code vulnérable de OSF_SCALL:GetCoalescedBuffer, nous avons remarqué que le bogue de débordement d’entier pouvait entraîner un débordement de la mémoire tampon du tas, où les données sont copiées sur une mémoire tampon trop petite pour être remplie », a expliqué Akamai dans son écriture technique.
« Cela permet à son tour d’écrire des données hors des limites du tampon, sur le tas. Lorsqu’elle est exploitée correctement, cette primitive peut conduire à l’exécution de code à distance.
Le chercheur de Sentinel One, Antonio Cocomazzi, a également joué avec le bogue et l’a exploité avec succès sur un serveur RPC personnalisé, et non sur un service Windows intégré.
La bonne nouvelle est qu’il peut nécessiter une configuration RPC spécifique pour être vulnérable, mais cela est toujours en cours d’analyse.
Alors que les chercheurs travaillent toujours à comprendre tous les détails techniques du bogue et comment l’exploiter de manière fiable, le chercheur en sécurité Matthew Hickey, cofondateur de Hacker House, a également joué à analyser la vulnérabilité.
Hickey a déclaré à BleepingComputer que ce n’est qu’une question de temps avant qu’un exploit ne soit développé et qu’il pourrait avoir le potentiel de résultats dommageables.
« C’est aussi mauvais que cela peut l’être pour les systèmes d’entreprise Windows, il est important de souligner que les gens devraient appliquer le correctif car il peut apparaître dans un certain nombre de configurations de services RPC client et serveur », a déclaré Hickey à BleepingComputer lors d’une conversation sur le bogue.
« Cela a le potentiel d’être un autre événement mondial similaire à WCRY, en fonction du temps qu’il faut aux attaquants pour armer et exploiter. Je m’attends à ce que les attaques commencent à s’intensifier avec cette vulnérabilité dans les semaines à venir. »
Hickey indique à BleepingComputer que la DLL vulnérable, rpcrt4.dll, n’est pas seulement utilisée par les services Microsoft, mais également par d’autres applications, ce qui augmente encore l’exposition de cette vulnérabilité.
« Le principal problème est que parce que c’est dans le rpcrt4.dll il n’y a pas seulement des services Microsoft par défaut, mais toutes sortes d’applications tierces qui seront affectées, donc même si vous bloquez simplement les ports Windows communs, vous pourriez toujours avoir des logiciels qui sont à la fois vulnérables en mode client / serveur – des choses comme les agents de sauvegarde, antivirus, logiciels de point de terminaison, même des outils pentest qui utilisent RPC.
Will Dormann, analyste des vulnérabilités au CERT/CC, avertit que tous les administrateurs doivent bloquer le port 445 au périmètre du réseau afin que les serveurs vulnérables ne soient pas exposés à Internet. En bloquant le port 445, les périphériques sont non seulement protégés contre les acteurs de menaces distantes, mais également contre les vers réseau potentiels susceptibles d’utiliser l’exploit.
Dormann dit qu’à l’heure actuelle, il y a plus de 1,3 million d’appareils exposant le port 445 à Internet, offrant un énorme pool de cibles à exploiter.
Cependant, même si les administrateurs bloquent les ports 445 et 135 au niveau du périmètre, cela ne suffit pas. Comme à moins que des mises à jour de sécurité ne soient installées, les appareils seront toujours vulnérables en interne aux acteurs de la menace qui compromettent un réseau.
Comme cette vulnérabilité est idéale pour se propager latéralement dans un réseau, nous la verrons presque sûrement utilisée par les gangs de ransomware à l’avenir.
Bien qu’il ne soit pas temps de paniquer à propos de cette vulnérabilité, les administrateurs doivent faire de la correction de ces appareils une priorité, car un exploit peut être publié à tout moment.
Une fois qu’un exploit est publié, il ne faut généralement que peu de temps aux acteurs de la menace pour l’armer dans les attaques.
source : bleepingcomputer
