Crédit : Dreamstime
Parmi les plus de 100 vulnérabilités réparées par Microsoft au cours de la semaine dernière en son cycle de correctifs mensuel régulier est celui qui préoccupe extrêmement la communauté de la sécurité. Il s’agit d’une vulnérabilité vitale d’exécution de code à distance (RCE) située dans l’environnement d’exécution Windows Remote Treatment Call (RPC).
Le défaut, identifié comme CVE-2022-26809, peut être utilisé sur le réseau sans l’interaction de l’utilisateur, utilisant potentiellement plusieurs procédures comme déclencheur. C’est le genre de vulnérabilité qui a animé d’importants botnets dans le passé, car certains processus Windows utilisent RPC pour interagir les uns avec les autres sur les réseaux.
« Le correctif est votre seule véritable solution à cette vulnérabilité », Johannes Ullrich, fondateur de le SANS Internet Storm Center, a déclaré dans un avis.
» Ne tardez pas. Patchez maintenant et utilisez l’intégralité de la mise à jour d’avril. Elle corrige plusieurs autres défauts vitaux qui pourraient avoir un impact comparable à l’intérieur de votre réseau (par exemple, la faille NFS [Network File System]). Vous ne pouvez pas « désactiver » RPC sous Windows si vous vous posez la question. Cela cassera des choses. RPC fait plus que SMB [Server Message Block] «
Pourquoi est-il difficile de gérer CVE-2022-26809 ?
La faille CVE-2022-26809 est l’un des trois codes distants RPC défauts d’exécution corrigés par Microsoft ce mois-ci. Les 2 autres sont suivis comme CVE-2022-24492 et CVE-2022-24528. Néanmoins, le vecteur d’attaque pour les deux derniers défauts est côté client, un agresseur ayant besoin de tromper les utilisateurs pour qu’ils exécutent un script spécialement conçu qui appellerait ensuite un hôte RPC et exécuterait du code avec exactement les mêmes consentements que le RPC. service.
En revanche, l’exploitation de CVE-2022-26809 est entièrement côté serveur et ne nécessite aucune interaction de l’utilisateur. Un adversaire n’a qu’à déterminer un système doté d’un service RPC à l’écoute des connexions, puis envoyer l’exploit.
Il y a eu un différend dans la communauté de la sécurité étant donné que le défaut a été annoncé concernant les protocoles pouvant être utilisé pour atteindre la vulnérabilité. Pour comprendre pourquoi, il est très important de comprendre comment fonctionne RPC.
Comment fonctionne RPC
RPC est une technique standardisée de développement client-serveur applications où une application cliente peut appeler une procédure exposée par une application serveur sans se soucier du réseau sous-jacent. Les deux applications peuvent même être sur le même fabricant et de nombreux services et fonctionnalités Windows comptent sur RPC localement. Microsoft a même un message d’assistance qui met en garde contre la désactivation de RPC.
Le port de communication standard utilisé par MSRPC est TCP 135. Le trafic RPC peut être tunnellisé sur d’autres protocoles tels que SMB/CIFS, HTTP ou TCP sur différents ports .
C’est pourquoi, dans son avis, Microsoft note que le port TCP 445, qui est généralement utilisé par la procédure SMB, peut être utilisé pour initier une connexion avec le composant concerné et suggère aux organisations d’obstruer le port 445 aux frontières de leur réseau. .
Pendant ce temps, d’autres organisations, telles que Absolutely no Day Effort (ZDI) de Pattern Micro, font référence au port TCP 135 dans leur avis, provoquant une certaine confusion.
D’autres se demandent si le port TCP 139, également lié à SMB et NetBIOS, peut également être une opportunité d’attaque, ainsi que d’autres technologies telles que SMB sur QUIC, qui tunnelise le trafic SMB sur le port UDP 443 chiffré par TLS. . Bloquer ce port à la limite du réseau ne serait pas pratique car cela obstruerait essentiellement tout le trafic HTTPS.
Il n’existe actuellement aucune preuve de concept accessible au public, mais il s’agit très probablement d’un simple question de temps jusqu’à ce que quelqu’un en établisse un. Les chercheurs procèdent déjà à la rétro-ingénierie du correctif pour mieux comprendre la vulnérabilité et déterminer tous les chemins d’attaque qui pourraient être utilisés pour atteindre le code vulnérable.
Même si seuls les ports 135 et 445 peuvent être utilisés pour un tel exploiter, l’exposition serait encore importante. Selon une analyse de la vulnérabilité par des scientifiques d’Akamai, près de 800 000 systèmes acceptent actuellement des connexions sur le port 445 à partir d’Internet.
Ceci est basé sur les informations du moteur de recherche Shodan, qui a en fait une exposition limitée, de sorte que le nombre réel est en fait plus grand. En ajoutant tous les systèmes qui commercialisent ouvertement un service « Microsoft RPC Endpoint Mapper », le nombre grimpe à plus de 2,1 millions.
Ce ne sont que les systèmes accessibles directement depuis le Web, mais cela fait de l’utilisation des positions un risque important également aux réseaux régionaux, car il peut être utilisé pour le mouvement latéral.
Obtenir une emprise sur les réseaux régionaux n’est pas difficile pour les ennemis et peut être atteint de différentes manières, des informations d’identification compromises aux membres du personnel cliquant sur des pièces jointes malveillantes ou des failles non corrigées dans des services ou des gadgets ouvertement exposés. Nous restons à une époque où les politiques de sécurité ne devraient pas être élaborées en partant du principe que les attaquants ne peuvent pas accéder à un réseau local car il s’agit d’un incident courant.
Pourquoi le blocage des ports peut ne pas fonctionner
Même Microsoft avertit dans son avis pour cette vulnérabilité que « les systèmes pourraient toujours être vulnérables aux attaques depuis l’intérieur de leur entreprise », même si le trafic sur le port 445 est obstrué à la limite du réseau.
Le problème est que le filtrage de ce trafic à l’intérieur des réseaux locaux est beaucoup plus complexe en raison du fait que SMB est largement utilisé dans les environnements commerciaux. Les chercheurs d’Akamai conseillent de « limiter les mouvements latéraux en autorisant le port TCP 445 entrant uniquement sur les fabricants où cela est nécessaire : contrôleurs de domaine, serveurs d’impression, serveurs de fichiers, etc. » Microsoft a un guide pour protéger le trafic SMB sur les serveurs Windows.
Il convient de garder à l’esprit que SMB n’est que l’un des vecteurs d’attaque connus pour cette vulnérabilité et que d’autres pourraient également être découverts au fur et à mesure que les chercheurs creusent le défaut.
Pour cette raison, le meilleur plan d’action est de publier les correctifs d’avril de Microsoft dès que possible, d’autant plus qu’ils corrigent également de nombreuses autres vulnérabilités graves, y compris une escalade des avantages qui est déjà activement utilisée dans le sauvage.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
