Kritik Windows RPC Zafiyeti İçin Acil Güncelleme Vakti

Microsoft, güvenlik araştırmacıları arasında endişe uyandıran yeni bir Windows RPC CVE-2022-26809 güvenlik açığını düzeltti. Bu nedenle, tüm kuruluşların Windows güvenlik güncellemelerini bir an önce uygulaması gerekiyor. Microsoft, Nisan 2022 Salı Yaması güncellemelerinin bir parçası olarak bu güvenlik açığını düzeltti ve Microsoft Remote Procedure Call (RPC) iletişim protokolündeki hata yetkisiz uzaktan kod yürütülmesine izin verdiği için ‘Kritik’ olarak derecelendirdi. Zafiyetin istismar edilmesi cihaza tam yönetici erişimi sağlıyor. RPC, RPC ana bilgisayarlarının TCP bağlantı noktaları, en yaygın olarak 445 ve 135 numaralı bağlantı noktaları üzerinden uzak bağlantıları dinlemesiyle, farklı aygıtlardaki işlemlerin birbirleriyle iletişim kurmasına olanak tanıyor.

Microsoft güvenlik güncellemelerini yayınladıktan sonra, güvenlik araştırmacıları bu zafiyetin saldırılarda kullanılma potansiyelini hızla gördüler. Örneğin, Akamai’deki araştırmacılar, hatayı rpcrt4.dll DLL dosyasındaki bir yığın arabellek taşmasına kadar takip ettiler. Sentinel One araştırmacısı Antonio Cocomazzi de yerleşik bir Windows hizmetinde değil, özel bir RPC sunucusunda başarıyla kullandı. İyi haber şu ki, savunmasız olmak için belirli bir RPC yapılandırması gerektirebilir, ancak bu hala analiz ediliyor.

Finally! I have found the right conditions to hit the vulnerable function for CVE-2022-26809!
No panic, this is a custom RPC server i wrote, not a default Windows service
It seems it's required a specific RPC configuration and AFAIK it shouldn't be common, need to deepen more… pic.twitter.com/fv3V6qt6Ug

— Antonio Cocomazzi (@splinter_code) April 14, 2022

Araştırmacılar hala hatanın tüm teknik ayrıntılarını ve onu güvenilir bir şekilde nasıl kullanabileceklerini araştırıyor. CERT/CC’de güvenlik açığı analisti olan Will Dormann, güvenlik açığı bulunan sunucuların internet’e açık kalmaması için tüm yöneticilerin 445 numaralı bağlantı noktasını engellemesi gerektiği konusunda uyarıyor. Ancak, güvenlik güncellemeleri yüklenmedikçe sistemlerin saldırılara karışı savunmasız olduğu unutulmamalıdır.

CVE-2022-26809 Yes, blocking 445 at your network perimeter is necessary but not sufficient to help prevent exploitation.
If by April 2022 you STILL have SMB exposed to the broader internet you've got some soul searching to do.
Now, about those hosts already inside your network… pic.twitter.com/jS8fPrv8E2

— Will Dormann (@wdormann) April 13, 2022

Bu güvenlik açığı bir ağda yanal olarak yayılmak için ideal olduğundan, gelecekte fidye yazılımı çeteleri tarafından kullanıldığını neredeyse kesin olarak göreceğiz.

Kaynak: bleepingcomputer.com