در روزهای اخیر، وجود #آسیبپذیری بحرانی با شناسه CVE-2022-26809 و شدت خطر CVSS 9.8 در تکنولوژی ارتباطی RPC گزارش شده است که در صورت سوءاستفاده موفق مهاجم بدون احراز هویت میتواند به گرفتن سطح دسترسی Admin در سرویس دهنده آسیبپذیر از راه دور اقدام کند.
تکنولوژی RPC و یا Remote procedure call به پردازشهای سیستمی این اجازه را میدهد که حتی اگر روی یک دستگاه متفاوت دیگر در حال اجرا هستند با یکدیگر ارتباط داشته باشند. بدین ترتیب، سیستم عامل میتواند از مزایا اجزای پیرامون خود و شبکه متصل، بدون نیاز به شناخت پروتکلهای متفاوت استفاده شده، بهرهمند شود. این تکنولوژی به صورت پیشفرض از پورتهای 445 و 135 نیز جهت سهولت در کار استفاده مینماید.
آسیبپذیری مذکور پتانسیل سوءاستفاده بسیار داشته و میتواند زمینه را برای گسترش تهدیدات سایبری در شبکه از طریق Lateral movment فراهم نماید و بستری برای اهداف مخرب اعم از انتشار بدافزارها باشد. این موضوع به قدری اهمیت دارد که متخصصین امنیت هشدار دادهاند که در صورت دستیابی مهاجمان به کد مخرب آن، میبایست آماده حملاتی چون حملات Blaster worm در سال 2003 و حملات Wannacry در سال 2007 بود.
کمپانی #مایکروسافت همچنین هشدار داده است که این سرویس دهنده که از طریق کتابخانه “rpcrt4.dll” فعالیت دارد تنها بر روی سرویسهای مایکروسافتی مورد استفاده قرار نگرفته و بلکه میتواند توسط نرم افزارهای شخص ثالث مانند: سرویسهای پشتیبانگیری، نرم افزارهای آنتیویروس و نرمافزارهای کاربردی (endpoint software) نیز استفاده گردد.
تمامی سیستمهای دارای سیستمعامل ویندوز که پورت 445 بر روی آن در سطح اینترنت در دسترس است، آسیبپذیر می باشند. همچنین تمامی سیستمهایی که پورت 135 آنها چه در سطح شبکه اینترنت و شبکه داخلی خود در دسترس باشد، مستعد آسیبپذیری می باشند. تنها سیستمعاملهای بهروزشده به آخرین نسخه، از این آسیبپذیری مصون میباشند.
شاید با بستن پورت 445 یا غیر فعالکردن پروتکل RPC در کل شبکه بتوان جلوی سوءاستفاده از این آسیبپذیری را گرفت اما به چند دلیل گزینه مناسبی جهت برخورد با این آسیب پذیری نیست.
1- مطابق با توصیه های مایکروسافت شما میتوانید پروتکل RPC و پورت آن را در سیستم خود غیر فعال نمایید اما پس از انجام این کار برخی از نرم افزار ها و قابلیت ها توانایی انجام کار به صورت صحیح را نخواند داشت. به عنوان مثال این پروتکل در سرویس های زیر مورد استفاده قرار می گیرد.
Fax Service
Indexing Service
IPSec Policy Agent
Messenger
Network Connections
Print Spooler
Protected Storage
Removable Storage
Routing Information Protocol (RIP) Listener
Routing and Remote Access
Task Scheduler
Telephony
Telnet
Windows Installer
Windows Management Instrumentation
,etc
2- قطع ارتباط خارجی سرویس دهنده RPC , SMB شاید بتواند جلوی تهدیدات خارج از شبکه را بگیرد اما باز هم جلوی تهدیدات شبکه داخلی را نمی گیرد. اگر مهاجم بتواند به هر طریق دسترسی به شبکه داخلی بگیرد می تواند از این آسیب پذیری جهت آلوده سازی سیستم های دیگر استفاده نماید.
3- بستن ارتباط این سرویس دهنده ها در تجهیزات امنیتی مانند فایروال ها می تواند گزینه خوبی برای شبکه های سازمانی یکپارچه باشد اما در شبکه هایی که فاقد تجهیزات و دانش کافی می باشند این عمل دردسر ساز خواهد بود.
4- برخی از استفاده کنندگان در سطح اینترنت مانند کاربران خانگی دانش کافی جهت مسدود سازی و عواقب آن را ندارند.
مطابق با توضیحات ارائه شده بالا تنها راه حل برای مرتفع سازی این آسیب پذیری استفاده از وصله امنیتی ارائه شده توسط مایکروسافت می باشد. به مدیران و مسئولان مرتبط اکیدا توصیه میشود تا وصله امنیتی را بر روی تمامی سیستمهای خود اعمال بنمایند.
اگر مدیران و مسئولان با صلاح دید خود تصمیم بر امن سازی ارتباط سرویس دهنده SMB گرفتند میتوانند از مستند زیر جهت انجام این کار استفاده نمایند.
https://docs.microsoft.com/en-us/windows-server/storage/file-server/smb-secure-traffic
منبع:
https://socradar.io/critical-rce-vulnerability-in-microsoft-rpc-could-be-a-big-issue/
- 211