13.04.2022 10:52

CVE-2022-26809: All your RPC are belong to us

Im April 2022 Patchday von Microsoft findet man wieder Updates, die eine bunter Mischung aus RCE (remote code execution: die Möglichkeit, auf anderen Systemen Programme auszuführen), EoP (elevation of privilege: die Erlangung von höheren Rechten), DoS (denial of service: Möglichkeiten zur Störung des Betriebs), Information Leaks und Spoofing bereinigen sollen.

Zwei davon betreffen zero-day Schwachstellen, also fixen Probleme, die bereits von Angreifern aktiv ausgenutzt werden. Beide sind vom Typ EoP. CVE-2022-26904 betrifft das Windows User Profile Service, CVE-2022-24521 den Windows Common Log File System Driver. Die CVSS Scores sind mit 7,0 bzw. 7,8 nicht allzu hoch.

Spannender ist das Pärchen CVE-2022-26809/CVE-2022-24491 mit RCE: hier kommt zwar der Patch vor der ersten bekannten Ausnutzung der Schwachstelle, dafür sollten bei CVSS 9.8 die Alarmglocken laut läuten. Beim ersten geht es um das generische RPC Service, beim zweiten um den NFS Server. Während NFS nicht überall im Einsatz sein wird, ist Windows RPC auf Port 445 sehr weit verbreitet und innerhalb von Firmennetzen auch zwangsläufig sehr selten durch Firewalls geschützt.

Mich erinnert das von der Ausgangslage sehr an CVE-2017-0144 (EternalBlue): Dort ging es um SMBv1, und auch dort war der Patch verfügbar, bevor die breite Ausnutzung der Schwachstelle begann. WannaCry und NotPetya nutzten EternalBlue, um sich als Computerwurm selbstständig weiterzuverbreiten. Das ist auch bei CVE-2022-26809 denkbar.

Wie schaut das Szenario dazu aus? 

  • Leider sind noch immer viel zu viele Systeme im österreichischem Internet auf Port 445 von außen erreichbar. Mit Shodan lässt sich das abschätzen: Die Suche nach "port:445 country:at" kommt auf 2.243 Treffer, einiges davon sind aber keine Windows-Systeme. Nimmt man "Windows Server" in die Suche dazu, bleiben 253 über, bei "Windows 10" 72. Sucht man anderes herum, in dem man bekannte Nicht-Windows Implementationen ausschließt ("!samba !darwin"), dann bleiben 1.272 IP-Adressen über.  Die Wahrheit wird irgendwo in der Mitte liegen. Dringende Empfehlung von uns: Port 445 in ihrer Infrastruktur sollte durch die Firewall geschützt werden.
  • Organisationen priorisieren (an sich zurecht) in ihrem Vulnerability-Management die von außen erreichbaren Dienste. Intern ist die Patch-Disziplin oft deutlich schlechter und dort sind immer wieder Softwareversionen zu finden, für die Updates gar nicht mehr so einfach erhältlich sind. Wird der verfügbare Patch nicht zeitnahe und konsequent im ganzen Netzwerk eingespielt, dann gibt es genug Futter für einen Wurm. 
  • Ein Angreifer braucht dann nur noch eine minimale Möglichkeit, im Netz des Opfers Software auszuführen. Die Wege dafür sind vielfältig und reichen von Macros in Office-Dokumenten, über VPN (kompromittierte Accounts oder Geschäftspartner), BYOD, JavaScript in Browsern bis hin zu Social Engineering.
  • In dem Fall kombiniert die RCE auch eine EoP: der Code, der bei RPC Servern zur Ausführung gebracht wird, läuft auch gleich im Kontext dieses Servers, und der hat oft Systemrechte. Damit kann daher ganz einfach andere Malware aktiviert werden.

Zusammenfassung: Wer den Patch zu CVE-2022-26809 nicht konsequent im ganzen Netzwerk ausrollt, macht es (bildlich) zu einem Kartenhaus: ein Windstoß, und es bricht zusammen.