آسیب‌پذیری اجرای کد از راه دور Windows RPC CVE–2022–26809

  • شناسه: CVE-2022-26809
  • امتیاز: ۹.۸ (از ۱۰)
  • درجه خطر: بحرانی
  • نوع آسیب‌پذیری: اجرای کد از راه دور
  • نوع خطا:  سرریز عدد صحیح (integer overflow) در rpcrt4.dll

توضیحات فنی

مايکروسافت آسيب‌پذيري جديد Windows RPC CVE–2022–26809 را برطرف کرده است که به دليل پتانسيل آن براي حملات سايبري گسترده و قابل توجه، نگراني‌هايي را در ميان محققان امنيتي برانگيخته است. بنابراين، همه سازمان ها بايد در اسرع وقت به روز رساني هاي امنيتي ويندوز را اعمال کنند. مايکروسافت اين آسيب‌پذيري را به عنوان بخشي از به‌روزرساني‌هاي وصله آوريل ۲۰۲۲ برطرف کرد و آن را به عنوان «بحراني» طبقه بندي کرد، چرا که امکان اجراي غيرمجاز کد از راه دور را از طريق يک باگ در پروتکل ارتباطي مايکروسافت Remote Procedure Call (RPC) مي‌دهد.

این آسیب‌پذیری با درجه خطر 9.8 از 10 و حیاتی طبقه بندی شده است و در صورت سوء استفاده، بدون نیاز به هیچ گونه تعاملی با کاربر،‌ هر دستوری در همان سطح امتیاز سرور Remote Procedure Call (RPC) اجرا می‌شود که در بسیاری از موارد دارای مجوزهای سطح بالا یا SYSTEM است و دسترسی مدیریتی کامل به دستگاه مورد سوء استفاده را فراهم می‌کند. این آسیب‌پذیری می‌تواند هم از خارج از شبکه به منظور نفوذ به آن و هم در بین ماشین‌های موجود در شبکه برای حرکت جانبی مورد سوء استفاده قرار گیرد.

با بررسی وصله امنیتی ارائه شده از سوی مایکروسافت، می‌توان به این نکته دست یافت که به جهت رفع این آسیب‌پذیری در کتابخانه پویا  rpcrt4.dll یک تکه کد جهت چک کردن مقدار و جلوگیری از خطای سرریز عدد صحیح (integer overflow  در هر دو تکه کد مربوط به کلاینت (OSF_CCALL::ProcessResponse) و سرور (OSF_SCALL::ProcessReceivedPDU) سرویس RPC اضافه شده است.

نسخه‌های آسیب‌پذیر

  • تمامی نسخه‌های ویندوز کلاینت (7 الی 11)
  • تمامی نسخه‌های ویندوز سرور ‌(2008 الی 2022)

توصیه‌های امنیتی

شما می‌توانید با نصب وصله‌ امنیتی زیر اقدام به رفع این آسیب‌پذیری بنمایید:

CVE-2022-26809

مسئله اصلی این است که از آنجایی که این آسیب‌پذیری در rpcrt4.dll وجود دارد، نه تنها سرویس های پیش فرض مایکروسافت، بلکه انواع برنامه های شخص ثالث نیز تحت تأثیر قرار گرفته و آسیب‌پذیر می‌باشند، بنابراین حتی اگر فقط پورت های رایج ویندوز (135 و 445) را مسدود کنید، ممکن است همچنان نرم افزارهایی داشته باشید که در هر دو حالت کلاینت/سرور آسیب پذیر هستند – مواردی مانند backup agent ها، آنتی ویروس، حتی ابزارهای pentest که از RPC استفاده می کنند و …. لذا بهترین راه‌حل نصب وصله های امنیتی در سریعترین زمان ممکن می‌باشد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>