گزارش آسیب پذیری در تکنولوژی Microsoft RPC

در روزهای اخیر، وجود #‫آسیب‌پذیری بحرانی با شناسه CVE-2022-26809 و شدت خطر CVSS 9.8 در تکنولوژی ارتباطی RPC گزارش شده است که در صورت سوء‌استفاده موفق مهاجم بدون احراز هویت می‌تواند به گرفتن سطح دسترسی Admin در سرویس دهنده آسیب‌پذیر از راه دور اقدام کند.
تکنولوژی RPC و یا Remote procedure call به پردازش‌های سیستمی این اجازه را می‌دهد که حتی اگر روی یک دستگاه متفاوت دیگر در حال اجرا هستند با یکدیگر ارتباط داشته باشند. بدین ترتیب، سیستم عامل می‌تواند از مزایا اجزای پیرامون خود و شبکه متصل، بدون نیاز به شناخت پروتکل‌های متفاوت استفاده شده، بهره‌مند شود. این تکنولوژی به صورت پیش‌فرض از پورت‌های 445 و 135 نیز جهت سهولت در کار استفاده می‌نماید.
آسیب‌پذیری مذکور پتانسیل سوء‌استفاده بسیار داشته و می‌تواند زمینه را برای گسترش تهدیدات سایبری در شبکه از طریق Lateral movment فراهم نماید و بستری برای اهداف مخرب اعم از انتشار بدافزار‌ها باشد. این موضوع به قدری اهمیت دارد که متخصصین امنیت هشدار داده‌اند که در صورت دستیابی مهاجمان به کد مخرب آن، میبایست آماده حملاتی چون حملات Blaster worm در سال 2003 و حملات Wannacry در سال 2007 بود.
کمپانی #‫مایکروسافت همچنین هشدار داده است که این سرویس دهنده که از طریق کتابخانه “rpcrt4.dll” فعالیت دارد تنها بر روی سرویس‌های مایکروسافتی مورد استفاده قرار نگرفته و بلکه می‌تواند توسط نرم افزار‌های شخص ثالث مانند‌: سرویس‌های پشتیبان‌گیری، نرم افزار‌های آنتی‌ویروس و نرم‌افزار‌های کاربردی (endpoint software) نیز استفاده گردد.

تمامی سیستم‌های دارای سیستم‌عامل ویندوز که پورت 445 بر روی آن در سطح اینترنت در دسترس است، آسیب‌پذیر می باشند. همچنین تمامی سیستم‌هایی که پورت 135 آنها چه در سطح شبکه اینترنت و شبکه داخلی خود در دسترس باشد، مستعد آسیب‌پذیری می باشند. تنها سیستم‌عامل‌های به‌روزشده به آخرین نسخه، از این آسیب‌پذیری مصون می‌باشند.

شاید با بستن پورت 445 یا غیر فعال‌کردن پروتکل RPC در کل شبکه بتوان جلوی سوءاستفاده از این آسیب‌پذیری را گرفت اما به چند دلیل گزینه مناسبی جهت برخورد با این آسیب پذیری نیست.

1- مطابق با توصیه های مایکروسافت شما می‌توانید پروتکل RPC و پورت آن را در سیستم خود غیر فعال نمایید اما پس از انجام این کار برخی از نرم افزار ها و قابلیت ها توانایی انجام کار به صورت صحیح را نخواند داشت. به عنوان مثال این پروتکل در سرویس های زیر مورد استفاده قرار می گیرد.

Fax Service
Indexing Service
IPSec Policy Agent
Messenger
Network Connections
Print Spooler
Protected Storage
Removable Storage
Routing Information Protocol (RIP) Listener
Routing and Remote Access
Task Scheduler
Telephony
Telnet
Windows Installer
Windows Management Instrumentation
,etc

2- قطع ارتباط خارجی سرویس دهنده RPC , SMB شاید بتواند جلوی تهدیدات خارج از شبکه را بگیرد اما باز هم جلوی تهدیدات شبکه داخلی را نمی گیرد. اگر مهاجم بتواند به هر طریق دسترسی به شبکه داخلی بگیرد می تواند از این آسیب پذیری جهت آلوده سازی سیستم های دیگر استفاده نماید.

3- بستن ارتباط این سرویس دهنده ها در تجهیزات امنیتی مانند فایروال ها می تواند گزینه خوبی برای شبکه های سازمانی یکپارچه باشد اما در شبکه هایی که فاقد تجهیزات و دانش کافی می باشند این عمل دردسر ساز خواهد بود.
4- برخی از استفاده کنندگان در سطح اینترنت مانند کاربران خانگی دانش کافی جهت مسدود سازی و عواقب آن را ندارند.

مطابق با توضیحات ارائه شده بالا تنها راه حل برای مرتفع سازی این آسیب پذیری استفاده از وصله امنیتی ارائه شده توسط مایکروسافت می باشد. به مدیران و مسئولان مرتبط اکیدا توصیه می‌شود تا وصله امنیتی را بر روی تمامی سیستم‌های خود اعمال بنمایند.
اگر مدیران و مسئولان با صلاح دید خود تصمیم بر امن سازی ارتباط سرویس دهنده SMB گرفتند می‌توانند از مستند زیر جهت انجام این کار استفاده نمایند.

https://docs.microsoft.com/en-us/windows-server/storage/file-server/smb-secure-traffic

منبع:

https://socradar.io/critical-rce-vulnerability-in-microsoft-rpc-could-be-a-big-issue/