Revelan una vulnerabilidad crítica en Windows que debe parchearse inmediatamente
Microsoft corrigió una nueva vulnerabilidad de Windows (CVE-2022-26809) que genera preocupación entre los investigadores de seguridad debido a su potencial de ciberataques significativos y generalizados una vez que se desarrolle un exploit. Por lo tanto, toda organización debe aplicar las actualizaciones de seguridad de Windows lo antes posible.
Microsoft corrigió esta vulnerabilidad como parte de las actualizaciones del martes de parches de abril de 2022 y la calificó como “crítica”. La vulnerabilidad permite la ejecución remota no autorizada de código a través de un error en el protocolo de comunicación de Llamada a Procedimiento Remoto (RPC) de Microsoft.
Si se explota, cualquier comando puede ejecutarse con el mismo nivel de privilegio que el servidor RPC. Este en muchos casos tiene permisos elevados o de nivel de SYSTEM, lo que proporciona acceso administrativo completo al dispositivo explotado.
El protocolo de llamada a procedimiento remoto (RPC) de Microsoft es un protocolo de comunicación. Este protocolo permite que los procesos se comuniquen entre sí, incluso si esos programas se ejecutan en otro dispositivo.
RPC permite que los procesos en diferentes dispositivos se comuniquen entre sí, con los hosts RPC escuchando conexiones remotas a través de puertos TCP, más comúnmente los puertos 445 y 135.
CVE-2022-26809 en la mira
Después de que Microsoft lanzó las actualizaciones de seguridad, los investigadores de seguridad vieron rápidamente el potencial de esta vulnerabilidad. Esta puede ser explotada en ataques generalizados, similar a lo que vimos con el gusano Blaster de 2003 y los ataques de Wannacry de 2017 utilizando la vulnerabilidad EternalBlue.
Los investigadores ya comenzaron a analizar y publicar detalles técnicos sobre la vulnerabilidad. Esto porque otros investigadores y ciberdelincuentes la utilizarán para armar un exploit viable.
Por ejemplo, los investigadores de Akamai ya han rastreado la vulnerabilidad hasta un desbordamiento de búfer en la DLL rpcrt4.dll.
“Al profundizar en el código vulnerable en
OSF_SCALL:GetCoalescedBuffer
, notamos que el error de desbordamiento de enteros podría conducir a un desbordamiento del búfer. Es decir, los datos se copian en un búfer que es demasiado pequeño para llenarlo”.“Esto, a su vez, permite que los datos se escriban fuera de los límites del búfer. Cuando se explota correctamente, esto podría conducir a la ejecución remota de código”.
Informe técnico de Akamai
El investigador de Sentinel One, Antonio Cocomazzi, también jugó con la vulnerabilidad. Él la explotó con éxito en un servidor RPC personalizado, no en un servicio integrado de Windows.
La buena noticia es que puede requerir una configuración RPC específica para ser vulnerable, pero eso aún se está analizando.
Los investigadores todavía están trabajando para descubrir todos los detalles técnicos de la vulnerabilidad y cómo explotarla de manera confiable. Por ejemplo, el investigador de seguridad Matthew Hickey ha estado analizando la vulnerabilidad.
Exploit
Hickey dijo que es solo cuestión de tiempo hasta que se desarrolle un exploit y que podría tener el potencial de resultados dañinos.
“Es muy malo para los sistemas empresariales de Windows. Es importante enfatizar que se debe aplicar el parche porque la vulnerabilidad puede aparecer en una serie de configuraciones de servicios RPC de cliente y servidor”.
“Esto tiene el potencial de ser otro evento global similar a WannaCry, dependiendo de cuánto tiempo les tome a los atacantes armarse y explotar. Espero que los ataques comiencen a aumentar con esta vulnerabilidad en las próximas semanas”.
Matthew Hickey
Es importante mencionar que la DLL vulnerable, rpcrt4.dll, no solo es utilizada por los servicios de Microsoft. Esta también es utilizada por otras aplicaciones, lo que aumenta aún más la exposición de esta vulnerabilidad.
El problema principal es que debido a que está dentro de rpcrt4.dll, no solo hay servicios predeterminados de Microsoft, sino todo tipo de aplicaciones de terceros que se verán afectadas. Por lo tanto, incluso si solo bloqueas los puertos comunes de Windows, es posible que aún quede algún software que es vulnerable en modo cliente/servidor, como antivirus y software de punto final.
Will Dormann, analista de vulnerabilidades del CERT/CC, advirtió que todos los administradores deben bloquear el puerto 445 en el perímetro de la red. Esto para que los servidores vulnerables no estén expuestos a Internet. Al bloquear el puerto 445, los dispositivos no solo están protegidos de atacantes remotos, sino también de los posibles gusanos de red que pueden utilizar el exploit.
Dormann dice que en este momento hay más de 1.3 millones de dispositivos que exponen el puerto 445 a Internet. En otras palabras, hay una gran cantidad de objetivos para explotar.
Protección
Sin embargo, bloquear el puerto 445 en el perímetro no es suficiente. Esto porque mientras no se instalen actualizaciones de seguridad, los dispositivos seguirán siendo vulnerables internamente a los ciberdelincuentes que comprometan una red.
Como esta vulnerabilidad es ideal para propagarse lateralmente en una red, es casi seguro que la veremos utilizada por bandas de ransomware en el futuro.
Si bien no es hora de entrar en pánico por esta vulnerabilidad, los administradores deben hacer que la aplicación de parches a estos dispositivos sea una prioridad. Recordemos que se puede lanzar un exploit en cualquier momento.
Una vez que se lanza un exploit, por lo general, los atacantes tardan poco tiempo en convertirlo en un arma en los ataques.