威胁
-
威胁攻击者讨论 CVE-2022-26809 的利用,这是一种存在于 Windows RPC 运行时中的 RCE。
-
一个可能有效的漏洞以 105 美元的价格出售。
影响
-
使用易受攻击的 RPC 访问设备。
-
该漏洞可用于以与 RPC 服务器相同的权限级别执行命令。
防御
-
应用最新的安全更新。
-
阻止企业外围服务的 TCP 端口 445 的流量。
-
通过监视 TCP 端口 445 上的输入来限制横向移动。
分析信息
CloudSEK的上下文人工智能数字风险平台守夜发现威胁参与者在网络犯罪论坛上谈论 CVE-2022-26809 的利用。
CVE-2022-26809是一个远程代码执行漏洞,存在于核心 Windows 组件远程过程调用 (RPC) 运行时中。
该攻击不需要身份验证,可以通过网络远程执行,从而导致具有 RPC 服务权限的远程代码执行 (RCE),这取决于托管 RPC 运行时的进程。
可以从网络外部和网络机器之间利用该漏洞来破坏它。
某论坛上的对话截图
来自 OSINT 的信息
-
Shodan 搜索表明有 1,707,532 台公开暴露的机器运行 RPC。
-
有人看到威胁参与者在 GitHub 上出售针对该漏洞的漏洞利用程序。
-
由于信息不足,目前无法确定该威胁行为者的可信度。
-
威胁研究人员发布的推文表明,该 CVE 的漏洞正在被用于获取访问权限。
来自网络犯罪论坛的信息
-
一个威胁行为者以 105 美元(以加密货币计)出售上述漏洞的利用。
-
部分坛友提到他们愿意出售 25 份漏洞利用副本。
-
截至 2022 年 9 月 18 日,已售出 22 份。
附录
另一个威胁行为者发布的帖子片段,宣传他们的利用
Shodan 的屏幕截图描述了 1,707,532 台公开暴露的运行 RPC 的机器
影响版本
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
原文始发于微信公众号(Ots安全):威胁情报 | CVE-2022-26809 Windows RPC 中的 RCE 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论