El error crítico de Windows RPC CVE-2022-26809 plantea preocupaciones — Parche ahora

Seguridad de Microsoft

Microsoft ha corregido una nueva vulnerabilidad CVE-2022-26809 de Windows RPC que está generando preocupación entre los investigadores de seguridad debido a su potencial de ciberataques generalizados y significativos una vez que se desarrolla un exploit. Por lo tanto, toda la organización debe aplicar las actualizaciones de seguridad de Windows lo antes posible.

Microsoft corrigió esta vulnerabilidad como parte de las actualizaciones del martes de parches de abril de 2022 y la calificó como 'Crítica', ya que permite la ejecución remota no autorizada de código a través de un error en el protocolo de comunicación microsoft Remote Procedure Call (RPC). 

Si se explota, cualquier comando se ejecutará en el mismo nivel de privilegios que el servidor RPC, que en muchos casos tiene permisos elevados o de nivel SYSTEM, proporcionando acceso administrativo completo al dispositivo explotado.

El protocolo de llamada a procedimiento remoto (RPC) de Microsoft es un protocolo de comunicación que permite que los procesos se comuniquen entre sí, incluso si esos programas se ejecutan en otro dispositivo.

RPC permite que los procesos en diferentes dispositivos se comuniquen entre sí, con los hosts RPC escuchando las conexiones remotas a través de los puertos TCP, más comúnmente los puertos 445 y 135.

CVE-2022-26809 en el punto de mira

Después de que Microsoft lanzó actualizaciones de seguridad, los investigadores de seguridad vieron rápidamente el potencial de que este error fuera explotado en ataques generalizados, similar a lo que vimos con el gusano Blaster de 2003 y los ataques Wannacry de 2017 que utilizan la vulnerabilidad Eternal Blue.

Los investigadores ya han comenzado a analizar y publicar detalles técnicos sobre la vulnerabilidad, que otros investigadores y actores de amenazas utilizarán para reconstruir en un exploit viable.

Por ejemplo, los investigadores de Akamai ya han rastreado el error hasta un desbordamiento del búfer de montón en la DLL rpcrt4.dll.

"Profundizando en el código vulnerable en OSF_SCALL:GetCoalescedBuffer, notamos que el error de desbordamiento de enteros podría conducir a un desbordamiento del búfer de montón, donde los datos se copian en un búfer que es demasiado pequeño para llenarlo", explicó Akamai en su redacción técnica.

"Esto, a su vez, permite que los datos se escriban fuera de los límites del búfer, en el montón. Cuando se explota correctamente, esta primitiva podría conducir a la ejecución remota de código".

El investigador de Sentinel One, Antonio Cocomazzi, también ha jugado con el error y lo ha explotado con éxito en un servidor RPC personalizado, no en un servicio de Windows incorporado.

La buena noticia es que puede requerir una configuración RPC específica para ser vulnerable, pero eso aún se está analizando.

Tweet de Antonio

Mientras que los investigadores todavía están trabajando en averiguar los detalles técnicos completos del error y cómo explotarlo de manera confiable, el investigador de seguridad Matthew Hickey, cofundador de Hacker House, también ha estado jugando a analizar la vulnerabilidad.

Hickey le dijo a BleepingComputer que es solo cuestión de tiempo hasta que se desarrolle un exploit y que podría tener el potencial de resultados dañinos.

"Es tan malo como puede ser para los sistemas empresariales Windows, es importante enfatizar que las personas deben aplicar el parche porque puede aparecer en una serie de configuraciones de servicios RPC de cliente y servidor", dijo Hickey a BleepingComputer en una conversación sobre el error.

"Esto tiene el potencial de ser otro evento global similar a WCRY, dependiendo de cuánto tiempo les tome a los atacantes convertirse en armas y explotar. Esperaría que los ataques comiencen a aumentar con esta vulnerabilidad en las próximas semanas".

Hickey le dice a BleepingComputer que la DLL vulnerable, rpcrt4.dll, no solo es utilizada por los servicios de Microsoft sino también por otras aplicaciones, lo que aumenta aún más la exposición de esta vulnerabilidad.

"El problema principal es que debido a que está dentro del rpcrt4.dll no solo hay servicios predeterminados de Microsoft, sino todo tipo de aplicaciones de terceros que se verán afectadas, por lo que incluso si solo bloquea los puertos comunes de Windows, es posible que aún tenga algún software que sea vulnerable en el modo cliente / servidor, cosas como agentes de respaldo, antivirus, software de punto final, incluso herramientas pentest que usan RPC".

Will Dormann, analista de vulnerabilidades en el CERT/CC, advierte que todos los administradores deben bloquear el puerto 445 en el perímetro de la red para que los servidores vulnerables no estén expuestos a Internet. Al bloquear el puerto 445, los dispositivos no solo están protegidos de actores de amenazas remotas, sino también de posibles gusanos de red que pueden utilizar el exploit.

Dormann dice que en este momento hay más de 1,3 millones de dispositivos que exponen el puerto 445 a Internet, ofreciendo un grupo masivo de objetivos para explotar.

Tuiteará

Sin embargo, incluso si los administradores bloquean los puertos 445 y 135 en el perímetro, no es suficiente. A menos que se instalen actualizaciones de seguridad, los dispositivos seguirán siendo vulnerables internamente a los actores de amenazas que comprometen una red.

Como esta vulnerabilidad es ideal para propagarse lateralmente en una red, es casi seguro que la veremos utilizada por bandas de ransomware en el futuro.

Si bien no es hora de entrar en pánico por esta vulnerabilidad, los administradores deben hacer que la aplicación de parches a estos dispositivos sea una prioridad, ya que se puede lanzar un exploit en cualquier momento.

Una vez que se libera un exploit, generalmente solo toma poco tiempo a los actores de amenazas convertirlo en un arma en ataques.

Artículos relacionados:

Microsoft deshabilita SMB1 de forma predeterminada para Windows 11 Home Insiders

Microsoft April 2022 Patch Tuesday corrige 119 fallas, 2 días cero

Microsoft: Windows Server ahora admite actualizaciones automáticas de .NET

Microsoft: Nuevo malware utiliza el error de Windows para ocultar las tareas programadas

Microsoft: Windows Autopatch roba la 'diversión' de los Patch Tuesdays

Fuente: BleepingComputer

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Actualización de seguridad para VMWare Center

Imagen
  Fecha de publicación:   26/10/2023 Nivel de peligrosidad:   CRÍTICO El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación del aviso de seguridad  VMSA-2023-0023  por parte del fabricante  VMware , que corrige  una vulnerabilidad  de severidad  crítica    en su producto   VMware Center . La explotación exitosa de la vulnerabilidad indicada, descubierta por el investigador Grigory Dorodnov, permitiría a un atacante remoto  ejecutar código arbitrario   en el sistema de destino. La base de datos del   NIST   no ha registrado esta vulnerabilidad, por lo tanto, no se le ha asignado una puntuación de acuerdo a la escala   CVSSv3 . Asimismo, la vulnerabilidad ha sido catalogada por   VMware   como   crítica . Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo reportado. Recursos afe
Leer más