CVE-2022-26809 MS-RPC | Runecast

Am Dienstag, den 12. April 2022, veröffentlichte Microsoft Patches für CVE-2022-26809, bei dem es sich angeblich um eine Zero-Click-Schwachstelle handelt, die auf Microsoft RPC-Dienste abzielt. Zum Zeitpunkt dieser Veröffentlichung gibt es keinen Beweis dafür, dass diese Sicherheitslücke in freier Wildbahn ausgenutzt wird. Aufgrund der Einstufung, dass die Ausnutzung "wahrscheinlicher" ist, gehen wir jedoch davon aus, dass dies nicht mehr lange der Fall sein wird.

Was ist RPC?

Für die meisten gängigen Dienste (SMTP, DNS, HTTP, ...) verwenden wir zugewiesene Ports, die von der Internet Assigned Numbers Authority (IANA) verwaltet werden. Es gibt jedoch allgemeine betriebssystemspezifische Dienste, die keine von der IANA zugewiesenen Ports haben und bei denen der Mechanismus "Remote Procedure Call" (RPC) zur Standardisierung der Kommunikation verwendet wird. Microsoft Remote Procedure Call (MSRPC) ermöglicht die Übermittlung von Nachrichten auf unterschiedliche Weise:

• SMB (Port 445 TCP oder Port 139) sind die gängigsten. Die Befehle über SMB werden als benannte Pipe-Writes gesendet, die dann an den jeweiligen Dienst weitergeleitet werden.
• Über TCP (Port 135 TCP und High Port). Die Clients stellen zunächst eine Verbindung zu einem Endpunkt-Mapper her, der die vom Dienst verwendete Portnummer zurückgibt. Dann wird eine zweite TCP-Verbindung zum High-Port die RPC-Nachricht übertragen.
• Über HTTP (Standard-Port 593). Dies ist nützlich, wenn RPC über das Internet zugänglich ist. TLS kann für die Verschlüsselung verwendet werden und HTTP kann zusätzliche Authentifizierungsoptionen bieten. Port 80/443 kann ebenfalls verwendet werden. 

Die Anzahl der Hosts, die auf verschiedenen Ports gefährdet sind (basierend auf Shodan.io), zeigt, dass über 700.000 Microsoft-Rechner potenziell gefährdet sind. Jeder Windows-Rechner, auf dem Port 445 offen liegt und die RPC-Laufzeitbibliothek nicht gepatcht ist, ist anfällig. Nach Angaben von Microsoft sind Server, die diesen TCP-Port abhören, potenziell angreifbar.

Shodan.io: Microsoft RPC Endpunkt Mapper

Die Verwundbarkeit

Ein Integer-Überlauf in MSRPC, der, wenn er ausgenutzt wird, die Ausführung von beliebigem Code über das Netzwerk ermöglicht, ohne dass eine Authentifizierung oder Benutzerinteraktion erforderlich ist.

Sicherheitsforscher von Akamai haben jetzt die Versionen 10.0.22000.434 (ungepatcht, vom März) und 10.0.22000.613 (gepatcht, vom April) der fraglichen RPC-Laufzeitbibliothek innerhalb der Windows-RPC-Laufzeitumgebung verglichen, die in einer Bibliothek namens rpcrt4.dll implementiert ist - und eine detaillierte Liste der Änderungen erstellt.

Daraus geht hervor, dass es sich bei dem CVE um einen "Integer-Überlauf-Bug [handelt], der zu einem Heap-Puffer-Überlauf führen kann, bei dem Daten in einen Puffer kopiert werden, der zu klein ist, um ihn zu füllen".

Auswirkungen und Schadensbegrenzung

Das Blockieren von Port 445 am Perimeter ist ein erster Schritt zur Schadensbegrenzung, reicht aber nicht aus, um einen Missbrauch zu verhindern. 

Wir empfehlen die folgenden Abhilfemaßnahmen, die auch auf den offiziellen Hinweisen von Microsoft basieren:

1. Wenden Sie die neuesten Sicherheitsupdates an, die diese Schwachstellen entschärfen.
2. Obwohl RPC für die vom System genutzten Dienste erforderlich ist, wird empfohlen, den Datenverkehr zum TCP-Port 445 für Geräte außerhalb des Unternehmensbereichs zu blockieren.
3. Schränken Sie die Seitwärtsbewegung ein, indem Sie den eingehenden TCP-Port 445 nur auf Rechnern zulassen, auf denen er benötigt wird (z. B. Domänencontroller, Druckserver, Dateiserver usw.).

Als Reaktion auf dieses CVE hat unsere Runecast-Entwicklung Team eine automatische Prüfung auf die Schwachstelle in der neuesten Version der Runecast-Definitionen, Version 6.1.0.6, bereitgestellt, die jetzt zum Download zur Verfügung steht. Kunden, die automatische Updates aktiviert haben, werden die neuen Definitionen während des nächsten Update-Zyklus erhalten, wobei Offline-Updates wie immer über das Runecast-Kundenportal verfügbar sind.

‍