Skip to main content
Nu hulp nodig bij een cyberincindent?
Bel 24/7: 088-2747800

Microsoft Remote Procedure Call kwetsbaarheid

Door 14 april 2022 CERT, SOC, Kwetsbaarheid

Deze liveblog bevat informatie over de Microsoft Remote Procedure Call kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 april 2022.

Update 14 april 2022

17:00 | Gisteren hebben we een blog gepubliceerd over de RPC kwetsbaarheid in Microsoft Windows, geregistreerd als CVE-2022-26809. Sinds de publicatie van deze blog zijn er twee zaken veranderd, die in deze update worden beschreven.

In de Security Advisory van Microsoft wordt alleen uitbuiting van de kwetsbaarheid via SMB over TCP-poort 445 beschreven. Het gebruik van RPC is echter niet beperkt tot SMB, ook andere services/poorten kunnen worden gebruikt. Er zijn sterke geruchten (niet officieel bevestigd), dat de kwetsbaarheid ook via onder andere de volgende services/poorten uitgebuit kan worden:

  • Direct over TCP via poort 135, 49152 – 65535
  • Via HTTP over TCP-poort 593
  • Via andere services, bijvoorbeeld Microsoft Exchange

Momenteel wordt CVE-2022-26809 nog niet in het wild uitgebuit. Het vrijgeven van de software update stelt aanvallers in staat om exploits te ontwikkelen door de verschillende versies van de bestanden met elkaar te vergelijken. De resultaten van de eerste analyses zijn inmiddels gepubliceerd, bijvoorbeeld door Akamai. Een publieke exploit voor deze kwetsbaarheid wordt op korte termijn verwacht.

Call to action

  • Zorg ervoor dat RPC niet publiek ontsloten wordt, bijvoorbeeld via:
    • RPC (135, 49152 – 65535)
    • SMB (445)
    • RPC over HTTP (593)
  • Installeer de patches van Microsoft, hierbij kan als suggestie de volgende volgorde worden aangehouden:
    • Critical assets, bijvoorbeeld: Domain Controllers, File servers en Exchange servers
    • Publiek ontsloten services
    • Interne client systemen

Update 13 april 2022

13:00 | Tijdens de Patch Tuesday van april heeft Microsoft een patch uitgebracht voor 119 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een Remote Code Execution kwetsbaarheid in de Remote Procedure Call Runtime, die is geregistreerd als CVE-2022-26809. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren met dezelfde rechten als de RPC-service. Deze service is actief in de context van het systeem gebruikersaccount Network Service.

Tesorion adviseert u om na te gaan of uw producten kwetsbaar zijn en de beschikbare software updates of workarounds zo snel mogelijk toe te passen.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Potentieel risico

De kwetsbaarheid CVE-2022-26809 heeft een CVSS-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en kent doorgaans een grote kans op uitbuiting met grote impact.

Deze kwetsbaarheid geeft een aanvaller de mogelijkheid geeft om ongeautoriseerd op afstand code uit te voeren met dezelfde rechten als de RPC-service. Deze service is actief in de context van het systeem gebruikersaccount Network Service. De aanvaller kan kwaadaardige RPC-verzoeken versturen om zo code uit te voeren op het getroffen systeem. De aard van de kwetsbaarheid geeft een aanvaller de mogelijk om deze te gebruiken om zich lateraal te bewegen door het netwerk. Hiermee kan een aanvaller zich ook bewegen richting de Domain Controllers, die doorgaans bereikbaar zijn via TCP-poort 445 om reguliere services te leveren aan Clients. Dit vormt mogelijk een groot risico.

Detailinfo

Microsoft heeft patches uitgebracht voor Windows 7 SP1 en Windows Server 2008 SP2 en hoger, wat aangeeft dat deze versies in ieder geval getroffen zijn. Het is niet duidelijk of oudere versies niet kwetsbaar zijn.

Microsoft heeft op 12 april 2022 een update uitgebracht. Het advies is om deze update zo snel mogelijk te installeren. Gezien de aard van de kwetsbaarheid is het aan te raden in ieder geval Domain Controllers en andere kritieke systemen die TCP-poort 445 ontsluiten, zo snel mogelijk van de betreffende updates te voorzien.

Als workaround kan TCP-poort 445 worden geblokkeerd op de (host) Firewall. Deze poort wordt gebruikt om een verbinding met het getroffen onderdeel tot stand te brengen. Het blokkeren van deze poort helpt systemen achter de firewall te beschermen tegen pogingen om deze kwetsbaarheid te misbruiken.

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu