Kwetsbaarheid

Microsoft Remote Procedure Call kwetsbaarheid

Deze liveblog bevat informatie over de Microsoft Remote Procedure Call kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 april 2022.

Clip path group@2x

T-Update

Informatie over kwetsbaarheden

Deze liveblog bevat informatie over de Microsoft Remote Procedure Call kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 april 2022.

Update 14 april 2022

17:00 | Gisteren hebben we een blog gepubliceerd over de RPC kwetsbaarheid in Microsoft Windows, geregistreerd als CVE-2022-26809. Sinds de publicatie van deze blog zijn er twee zaken veranderd, die in deze update worden beschreven.

In de Security Advisory van Microsoft wordt alleen uitbuiting van de kwetsbaarheid via SMB over TCP-poort 445 beschreven. Het gebruik van RPC is echter niet beperkt tot SMB, ook andere services/poorten kunnen worden gebruikt. Er zijn sterke geruchten (niet officieel bevestigd), dat de kwetsbaarheid ook via onder andere de volgende services/poorten uitgebuit kan worden:

  • Direct over TCP via poort 135, 49152 – 65535
  • Via HTTP over TCP-poort 593
  • Via andere services, bijvoorbeeld Microsoft Exchange

Momenteel wordt CVE-2022-26809 nog niet in het wild uitgebuit. Het vrijgeven van de software update stelt aanvallers in staat om exploits te ontwikkelen door de verschillende versies van de bestanden met elkaar te vergelijken. De resultaten van de eerste analyses zijn inmiddels gepubliceerd, bijvoorbeeld door Akamai. Een publieke exploit voor deze kwetsbaarheid wordt op korte termijn verwacht.

Call to action

  • Zorg ervoor dat RPC niet publiek ontsloten wordt, bijvoorbeeld via:
    • RPC (135, 49152 – 65535)
    • SMB (445)
    • RPC over HTTP (593)
  • Installeer de patches van Microsoft, hierbij kan als suggestie de volgende volgorde worden aangehouden:
    • Critical assets, bijvoorbeeld: Domain Controllers, File servers en Exchange servers
    • Publiek ontsloten services
    • Interne client systemen

Update 13 april 2022

13:00 | Tijdens de Patch Tuesday van april heeft Microsoft een patch uitgebracht voor 119 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een Remote Code Execution kwetsbaarheid in de Remote Procedure Call Runtime, die is geregistreerd als CVE-2022-26809. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren met dezelfde rechten als de RPC-service. Deze service is actief in de context van het systeem gebruikersaccount Network Service.

Tesorion adviseert je om na te gaan of uw producten kwetsbaar zijn en de beschikbare software updates of workarounds zo snel mogelijk toe te passen.

Cyberveiligheid op maat

Achtergrond

De kwetsbaarheid CVE-2022-26809 heeft een CVSS-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en kent doorgaans een grote kans op uitbuiting met grote impact. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid geeft om ongeautoriseerd op afstand code uit te voeren met dezelfde rechten als de RPC-service. Deze service is actief in de context van het systeem gebruikersaccount Network Service. De aanvaller kan kwaadaardige RPC-verzoeken versturen om zo code uit te voeren op het getroffen systeem. De aard van de kwetsbaarheid geeft een aanvaller de mogelijk om deze te gebruiken om zich lateraal te bewegen door het netwerk. Hiermee kan een aanvaller zich ook bewegen richting de Domain Controllers, die doorgaans bereikbaar zijn via TCP-poort 445 om reguliere services te leveren aan Clients. Dit vormt mogelijk een groot risico.

Risico

Microsoft heeft patches uitgebracht voor Windows 7 SP1 en Windows Server 2008 SP2 en hoger, wat aangeeft dat deze versies in ieder geval getroffen zijn. Het is niet duidelijk of oudere versies niet kwetsbaar zijn.

Microsoft heeft op 12 april 2022 een update uitgebracht. Het advies is om deze update zo snel mogelijk te installeren. Gezien de aard van de kwetsbaarheid is het aan te raden in ieder geval Domain Controllers en andere kritieke systemen die TCP-poort 445 ontsluiten, zo snel mogelijk van de betreffende updates te voorzien.

Als workaround kan TCP-poort 445 worden geblokkeerd op de (host) Firewall. Deze poort wordt gebruikt om een verbinding met het getroffen onderdeel tot stand te brengen. Het blokkeren van deze poort helpt systemen achter de firewall te beschermen tegen pogingen om deze kwetsbaarheid te misbruiken.

Advies

Bronnen

Meer informatie:

Ellipse 6

Schrijf je in voor T-Updates

Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail

More than 1,000 organisations have already joined us.

Tesorion gebruikt jouw gegevens voor het versturen van de gevraagde informatie. Daarnaast worden je gegevens mogelijk gebruikt voor commerciële opvolging. Je kunt je op elk gewenst moment hiervoor afmelden via de link in de e-mail. Lees voor meer informatie ons privacybeleid.

Ellipse 6