-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Krytyczna podatność w Windowsach klienckich / serwerowych. Zdalnie można przejąć system, łatajcie, przepatrzcie firewalle! [CVE-2022-26809]

13 kwietnia 2022, 11:23 | W biegu | komentarzy 21

Chodzi o CVE-2022-26809. Co my tu mamy? Błąd klasy RCE (Remote Code Execution, umożliwiający zdalne wykonanie kodu na atakowanym systemie):

Remote Procedure Call Runtime Remote Code Execution Vulnerability

To exploit this vulnerability, an attacker would need to send a specially crafted RPC call to an RPC host. This could result in remote code execution on the server side with the same permissions as the RPC service.

Dalej – z tabelki poniżej widać, że do ataku nie jest wymagane posiadanie żadnych uprawnień i można go wykonać z poziomu sieci:

Jakie Windowsy są podatne? Bezpiecznie jest napisać: wszystkie. Microsoft wylicza:
* Windows Serwery 2008 (lub nowsze)
* Windows 7 (lub nowsze) – również Windows 10 oraz 11

Poniżej fragment listy:

Microsoft zaleca przy okazji ograniczenie na firewallach brzegowych dostępu do portu 445 TCP (tutaj dodatkowe zalecenia). Jak widać wiele osób ma z tym jeszcze problem…:

Trochę osób spodziewa się przygotowania robaka na tę podatność (złośliwego kodu który będzie się sam rozpylał, atakował kolejne systemy). Łatajcie się więc szybko.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. krzyś

    Jak taką podatność zablokować na fortigate?

    Odpowiedz
    • Crix

      Zablokuj na polisie do Internetu port 445 i ustaw tą polisę jako nadrzędną.

      Odpowiedz
      • domyslne

        Nie musisz czegos takiego robic FG domyslnie blokujetakie uslugi

        Odpowiedz
    • Rafal

      IPS/IDS wytnie jak masz support i ciągniesz bazę z Fortiguard. Nie wystawiaj 445 na świat.

      Odpowiedz
  2. ALEKSANDER

    łatajcie szybko po założeniu blokady na firewall-u odbija się sporo zapytań szczególnie z Rosji …

    Odpowiedz
  3. Eryk

    No dobra, ale jak to załatać w Windows 7?

    Odpowiedz
    • Fen

      Jedyna opcja to aktualizacja do nowszego systemu

      Odpowiedz
    • Imie

      Poprzez upgrade do w10 albo do końca roku – ESL dla Windows 7 (płatne…)

      Odpowiedz
    • m

      Da się ale trzeba miec extended support, jak nie masz to blokada portu 445.

      Odpowiedz
  4. Mickey

    Czy RPC na 445 jest domyślnie uruchomione? Czy domyślnie skonfigurowany system jest podatny? Czy trzeba mieć włączone „udostępnianie plików i drukarek” jak to było z lukami w protokole SMB?

    Odpowiedz
  5. eLMo

    blokada 445 TCP do/z netu OK, ale miedzy sieciami nie jest to możliwe, bo port jest wykorzystywany w codziennej komunikacji.

    Odpowiedz
    • domyslny

      Zgadza sie, dlatego jak masz NGF’a wlaczasz filtrowanie miedzy Vlanami ustawiasz polityki profili zabezpieczeen i tyle ;) ocsywiscie plus AV XDR itp

      Odpowiedz
  6. Di

    Wyłącz udostępnianie plików i drukarek.

    Odpowiedz
  7. Maciej

    445 wystawiony na publiku? Lol. Dla mnie zgroza, identyczna jak wystawianie RDP, ale fakt, ma to miejsce.

    Odpowiedz
  8. Paweł

    Port 445 to blokowało się już 15 lat temu na firewallach, nic nowego…raczen dziwne że ktoś pisze o rzeczach oczywistych ale niestety część młodych ludzi w branży ma jak widać kiepskie pojęcie czym się zajmuje

    Odpowiedz
  9. Info

    Łatajcie najlepiej przez pozbycie się MS szajsu…

    Odpowiedz
  10. Wojtek

    1. Kto normalny wystawia windowsa bez firewalla na świat?
    2. Patche już są jak ktoś czeka na to że się samo zalata faktycznie może wystawiać windows na świat z otwartym smb…. Na jedno wychodzi..

    Odpowiedz
  11. Jan

    Nie rozumiem takich metod. Co do zasady na firewallu blokuję się wszystko i potem dopuszcza tylko to co jest konieczne do pracy. Całe inne dywagacje o blokowaniu pojedynczych portów to zabawa na poziomie gimbazy, a nie profesjonalnych adminów.

    Odpowiedz
    • Paweł

      Dokładnie, też mnie zdziwiła ta dyskusja

      Odpowiedz
  12. Anonim

    Racja, przerzucać się na Linuxy, to i lepsze, spolszczone będą, a i taniej jest. Komercyjne ostatnio W podrożały o ok 50 zł.

    Odpowiedz
  13. Marek

    Exploit jest już dostępny, jest płatny na github

    Odpowiedz

Odpowiedz na Jan