Windows RPC运行时漏洞事后总结

2024-01-11 06:52

本文主要是介绍Windows RPC运行时漏洞事后总结,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

2022年4月前后,Windows RPC运行时被曝出存在远程代码执行漏洞,当时曾引起很多人广泛关注。微软很快做出反应,发布补丁程序进行修补。这次事件中,Windows远程过程调用(RPC)运行时共出现三个关键漏洞:CVE-2022-24492、CVE-2022-24528和CVE-2022-26809。

本文主要将介绍其中两个漏洞的信息,它们所产生的影响和范围,以及可行的缓解措施。

Akamai最近还撰写了一篇有关RPC筛选器的指南,该工具可以限制并阻止Windows计算机之间的RPC流量。虽然我们还未确认RPC筛选器是否可以缓解本文所讨论的漏洞,但建议感兴趣的读者阅读此文,进一步了解该工具的机制。

漏洞及其影响

通过利用这些漏洞,未经授权的远程攻击者将能利用RPC服务特权在存在漏洞的计算机上远程执行代码,当然这还要取决于承载RPC运行时的进程。该漏洞可以从网络外部利用借此入侵网络,此外也可用于网络内部横向移动。

如上表所示,CVE-2022-26809是一种“零点击”漏洞,无需人工介入即可利用。因此它在通用漏洞评分系统(CVSS)中一举得到了9.8分的高分(满分10分)。这意味着该漏洞的严重性极高,并且被攻击者利用的可能性极大。

谁容易受到威胁?

任何Windows计算机,只要445端口被打开且RPC运行时库未安装补丁,都会受到该漏洞威胁。根据Shodan的数据,目前有超过70万台Windows计算机将该端口暴露在互联网上。根据微软的介绍。监听该TCP端口的服务器也会受到潜在威胁。

定位并理解该漏洞

CVE中提到,该漏洞位于Windows RPC运行时中,该运行时是通过库文件rpcrt4.dll实现的。当客户端和服务器进程利用RPC协议进行通信时,双方都会加载这个运行时库。

我们对比了该文件的10.0.22000.434版(2022年3月补丁修补前)和10.0.22000.613版(2022年4月,补丁修补后),发现有如下多个函数产生了变化:

其中OSF_CCALL::ProcessResponse和OSF_SCALL::ProcessReceivedPDU这两个函数引起了我们的注意。这两个函数本质上较为相似,都负责处理RPC数据包,但一个运行在客户端,另一个运行在服务器端(CCALL和SCALL分别代表客户端和服务器端)。我们继续研究OSF_SCALL::ProcessReceivedPDU的变更,并注意到新版本中增加的两个代码块。

查看修补后的代码可以看到,在QUEUE::PutOnQueue之后调用了一个新函数。继续深入这个新函数并查看其代码发现,该函数会检查整数溢出。也就是说,新增的这个函数是为了验证整数变量是否保持在预期值范围内。

继续深入查看OSF_SCALL:GetCoalescedBuffer中有漏洞的代码后发现,这个整数溢出漏洞会导致堆缓冲区溢出,即数据被复制到一个太小而装不下的缓冲区中。这进而会导致数据被写入到缓冲区边界之外的堆中。只要善加利用,这个基元就可能导致远程代码执行。

其他几个函数页增加了类似的,用于检查整数溢出的调用:

  • OSF_CCALL::ProcessResponse
  • OSF_SCALL::GetCoalescedBuffer
  • OSF_CCALL::GetCoalescedBuffer

该整数溢出漏洞和防止此漏洞的函数同时存在于客户端和服务器端的执行流程中。

缓解措施

虽然RPC使用了多种安全控制机制和措施(例如安全回调),但我们依然建议根据微软的说明执行下列缓解措施:

  1. 安装最新安全更新,缓解这些漏洞。
  2. 虽然RPC对系统中的某些服务是必须的,但对企业边界范围外的设备,建议阻止TCP 445端口的通信。
  3. 为了遏制横向移动,建议只对真正需要的计算机(如域控制器、打印服务器、文件服务器等)允许传入的TCP 445端口通信。

Akamai Guardicore Segmentation规则

Akamai Guardicore Segmentation旨在保护用户防范利用这些漏洞发起的攻击。如上文所述,CVE-2022-26809因为完全无需人工介入即可生效,因此CVSS评分极高。这意味着该漏洞被利用时,用户和安全团队可能都无法察觉。通过使用明确的访问控制机制对网络进行微分段,即可防止利用这些漏洞的攻击进入内部网络或在网络中横向移动。

为了应用缓解措施,阻止来自网络外部的SMB流量,请创建如下的分段规则:


这篇关于Windows RPC运行时漏洞事后总结的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/593513

相关文章

java常见报错及解决方案总结

《java常见报错及解决方案总结》:本文主要介绍Java编程中常见错误类型及示例,包括语法错误、空指针异常、数组下标越界、类型转换异常、文件未找到异常、除以零异常、非法线程操作异常、方法未定义异常... 目录1. 语法错误 (Syntax Errors)示例 1:解决方案:2. 空指针异常 (NullPoi

Windows Server服务器上配置FileZilla后,FTP连接不上?

《WindowsServer服务器上配置FileZilla后,FTP连接不上?》WindowsServer服务器上配置FileZilla后,FTP连接错误和操作超时的问题,应该如何解决?首先,通过... 目录在Windohttp://www.chinasem.cnws防火墙开启的情况下,遇到的错误如下:无法与

Java终止正在运行的线程的三种方法

《Java终止正在运行的线程的三种方法》停止一个线程意味着在任务处理完任务之前停掉正在做的操作,也就是放弃当前的操作,停止一个线程可以用Thread.stop()方法,但最好不要用它,本文给大家介绍了... 目录前言1. 停止不了的线程2. 判断线程是否停止状态3. 能停止的线程–异常法4. 在沉睡中停止5

Python解析器安装指南分享(Mac/Windows/Linux)

《Python解析器安装指南分享(Mac/Windows/Linux)》:本文主要介绍Python解析器安装指南(Mac/Windows/Linux),具有很好的参考价值,希望对大家有所帮助,如有... 目NMNkN录1js. 安装包下载1.1 python 下载官网2.核心安装方式3. MACOS 系统安

Java反转字符串的五种方法总结

《Java反转字符串的五种方法总结》:本文主要介绍五种在Java中反转字符串的方法,包括使用StringBuilder的reverse()方法、字符数组、自定义StringBuilder方法、直接... 目录前言方法一:使用StringBuilder的reverse()方法方法二:使用字符数组方法三:使用自

Windows系统下如何查找JDK的安装路径

《Windows系统下如何查找JDK的安装路径》:本文主要介绍Windows系统下如何查找JDK的安装路径,文中介绍了三种方法,分别是通过命令行检查、使用verbose选项查找jre目录、以及查看... 目录一、确认是否安装了JDK二、查找路径三、另外一种方式如果很久之前安装了JDK,或者在别人的电脑上,想

Windows命令之tasklist命令用法详解(Windows查看进程)

《Windows命令之tasklist命令用法详解(Windows查看进程)》tasklist命令显示本地计算机或远程计算机上当前正在运行的进程列表,命令结合筛选器一起使用,可以按照我们的需求进行过滤... 目录命令帮助1、基本使用2、执行原理2.1、tasklist命令无法使用3、筛选器3.1、根据PID

Python中Windows和macOS文件路径格式不一致的解决方法

《Python中Windows和macOS文件路径格式不一致的解决方法》在Python中,Windows和macOS的文件路径字符串格式不一致主要体现在路径分隔符上,这种差异可能导致跨平台代码在处理文... 目录方法 1:使用 os.path 模块方法 2:使用 pathlib 模块(推荐)方法 3:统一使

在VSCode中本地运行DeepSeek的流程步骤

《在VSCode中本地运行DeepSeek的流程步骤》本文详细介绍了如何在本地VSCode中安装和配置Ollama和CodeGPT,以使用DeepSeek进行AI编码辅助,无需依赖云服务,需要的朋友可... 目录步骤 1:在 VSCode 中安装 Ollama 和 CodeGPT安装Ollama下载Olla

Windows server服务器使用blat命令行发送邮件

《Windowsserver服务器使用blat命令行发送邮件》在linux平台的命令行下可以使用mail命令来发送邮件,windows平台没有内置的命令,但可以使用开源的blat,其官方主页为ht... 目录下载blatBAT命令行示例备注总结在linux平台的命令行下可以使用mail命令来发送邮件,Win