概述
概述
我中心技术支撑单位“深圳网安检测”近日监测到微软发布了一则关于RPC远程代码执行漏洞的安全公告(CVE-2022-26809),攻击者可以利用该漏洞无需身份认证和用户交互,仅通过向受影响的目标服务器发送特制的RPC请求,即可触发并达到远程代码执行的目的。由于该漏洞在利用时完全不需用户交互,具有较低的攻击复杂性,这提高了黑客急于开发利用的可能性,且任何暴露445传输端口的Windows设备都存在着相关风险,同时445传输端口又被Windows SMB(文件共享)所使用,一旦被攻击感染蠕虫病毒可导致病毒在内网横向蔓延,建议各行业单位及时自查目前使用的Windows系统和服务器,及时根据以下解决方案进行修补和防范。
WindowsRPC Runtime是微软公司的一种用于创建分布式客户端/服务器程序的技术,比如可以编译一个适用于linux的服务端,然后编译一个适用于win32的客户端,通过RPC技术可以在不同的操作系统之间进行过程调用。
漏洞详情
MicrosoftWindows RPC Runtime远程代码执行漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素。成功利用该漏洞可能会导致在服务器端以与 RPC 服务类似的权限执行远程代码。
漏洞名称:Windows RPC Runtime 远程代码执行漏洞
漏洞编号:CVE-2022-26809
危害等级:高
影响范围
影响范围
受影响版本
· Microsoft Windows Server 2008 SP2
· Microsoft Windows 7 SP1
· Microsoft Windows 8.1
· Microsoft Windows RT 8.1 SP0
· Microsoft Windows Server 2012 R2
· Microsoft Windows 10 1607
· Microsoft Windows Server 2016
· Microsoft Windows Server 2012
· Microsoft Windows 7
· Microsoft Windows 10
· Microsoft Windows Server 2019
· Microsoft Windows 10 1809
· Microsoft Windows Server 2008 R2
· Microsoft Windows 10 1809
· Microsoft Windows 10 1909
· Microsoft Windows 10 20H2
· Microsoft Windows Server2008
· Microsoft Windows Server 20H2
· Microsoft Windows 10 21H1
· Microsoft Windows Server 2022
· Microsoft Windows 11
· Microsoft Windows 1021H2
解决方案
解决方案
1、目前官方已发布安全补丁,请及时下载更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
2、系统使用的设备需要 RPC。对于企业外围以外的服务,建议关闭或阻止445 TCP端口的访问流量;
3、仅在指定设备启用445 TCP 端口,(例如打印服务器、域控制器、文件服务器等)来限制横向移动。
原文始发于微信公众号(广东省网络安全应急响应中心):【漏洞通告】关于 Windows RPC Runtime 远程代码执行漏洞的通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论