Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Krytyczna podatność w Windowsach klienckich / serwerowych. Zdalnie można przejąć system, łatajcie, przepatrzcie firewalle! [CVE-2022-26809]
Chodzi o CVE-2022-26809. Co my tu mamy? Błąd klasy RCE (Remote Code Execution, umożliwiający zdalne wykonanie kodu na atakowanym systemie):
Remote Procedure Call Runtime Remote Code Execution Vulnerability
To exploit this vulnerability, an attacker would need to send a specially crafted RPC call to an RPC host. This could result in remote code execution on the server side with the same permissions as the RPC service.
Dalej – z tabelki poniżej widać, że do ataku nie jest wymagane posiadanie żadnych uprawnień i można go wykonać z poziomu sieci:
Jakie Windowsy są podatne? Bezpiecznie jest napisać: wszystkie. Microsoft wylicza:
* Windows Serwery 2008 (lub nowsze)
* Windows 7 (lub nowsze) – również Windows 10 oraz 11
Poniżej fragment listy:
Microsoft zaleca przy okazji ograniczenie na firewallach brzegowych dostępu do portu 445 TCP (tutaj dodatkowe zalecenia). Jak widać wiele osób ma z tym jeszcze problem…:
Trochę osób spodziewa się przygotowania robaka na tę podatność (złośliwego kodu który będzie się sam rozpylał, atakował kolejne systemy). Łatajcie się więc szybko.
~Michał Sajdak
Jak taką podatność zablokować na fortigate?
Zablokuj na polisie do Internetu port 445 i ustaw tą polisę jako nadrzędną.
Nie musisz czegos takiego robic FG domyslnie blokujetakie uslugi
IPS/IDS wytnie jak masz support i ciągniesz bazę z Fortiguard. Nie wystawiaj 445 na świat.
łatajcie szybko po założeniu blokady na firewall-u odbija się sporo zapytań szczególnie z Rosji …
No dobra, ale jak to załatać w Windows 7?
Jedyna opcja to aktualizacja do nowszego systemu
Poprzez upgrade do w10 albo do końca roku – ESL dla Windows 7 (płatne…)
Da się ale trzeba miec extended support, jak nie masz to blokada portu 445.
Czy RPC na 445 jest domyślnie uruchomione? Czy domyślnie skonfigurowany system jest podatny? Czy trzeba mieć włączone „udostępnianie plików i drukarek” jak to było z lukami w protokole SMB?
blokada 445 TCP do/z netu OK, ale miedzy sieciami nie jest to możliwe, bo port jest wykorzystywany w codziennej komunikacji.
Zgadza sie, dlatego jak masz NGF’a wlaczasz filtrowanie miedzy Vlanami ustawiasz polityki profili zabezpieczeen i tyle ;) ocsywiscie plus AV XDR itp
Wyłącz udostępnianie plików i drukarek.
445 wystawiony na publiku? Lol. Dla mnie zgroza, identyczna jak wystawianie RDP, ale fakt, ma to miejsce.
Port 445 to blokowało się już 15 lat temu na firewallach, nic nowego…raczen dziwne że ktoś pisze o rzeczach oczywistych ale niestety część młodych ludzi w branży ma jak widać kiepskie pojęcie czym się zajmuje
Łatajcie najlepiej przez pozbycie się MS szajsu…
1. Kto normalny wystawia windowsa bez firewalla na świat?
2. Patche już są jak ktoś czeka na to że się samo zalata faktycznie może wystawiać windows na świat z otwartym smb…. Na jedno wychodzi..
Nie rozumiem takich metod. Co do zasady na firewallu blokuję się wszystko i potem dopuszcza tylko to co jest konieczne do pracy. Całe inne dywagacje o blokowaniu pojedynczych portów to zabawa na poziomie gimbazy, a nie profesjonalnych adminów.
Dokładnie, też mnie zdziwiła ta dyskusja
Racja, przerzucać się na Linuxy, to i lepsze, spolszczone będą, a i taniej jest. Komercyjne ostatnio W podrożały o ok 50 zł.
Exploit jest już dostępny, jest płatny na github