گزارش آسیب پذیری در تکنولوژی MICROSOFT RPC

کمیته رکن چهارم – وجود ‫آسیب‌پذیری بحرانی در تکنولوژی ارتباطی RPC گزارش شده است که در صورت سوء‌استفاده موفق مهاجم بدون احراز هویت می‌تواند به گرفتن سطح دسترسی Admin در سرویس دهنده آسیب‌پذیر از راه دور اقدام کند.

در روزهای اخیر، وجود ‫آسیب‌پذیری بحرانی با شناسه CVE-۲۰۲۲-۲۶۸۰۹ و شدت خطر CVSS ۹.۸ در تکنولوژی ارتباطی RPC گزارش شده است که در صورت سوء‌استفاده موفق مهاجم بدون احراز هویت می‌تواند به گرفتن سطح دسترسی Admin در سرویس دهنده آسیب‌پذیر از راه دور اقدام کند.

تکنولوژی RPC و یا Remote procedure call به پردازش‌های سیستمی این اجازه را می‌دهد که حتی اگر روی یک دستگاه متفاوت دیگر در حال اجرا هستند با یکدیگر ارتباط داشته باشند. بدین ترتیب، سیستم عامل می‌تواند از مزایا اجزای پیرامون خود و شبکه متصل، بدون نیاز به شناخت پروتکل‌های متفاوت استفاده شده، بهره‌مند شود. این تکنولوژی به صورت پیش‌فرض از پورت‌های ۴۴۵ و ۱۳۵ نیز جهت سهولت در کار استفاده می‌کند.

آسیب‌پذیری مذکور پتانسیل سوء‌استفاده بسیار داشته و می‌تواند زمینه را برای گسترش تهدیدات سایبری در شبکه از طریق Lateral movment فراهم نماید و بستری برای اهداف مخرب اعم از انتشار بدافزار‌ها باشد. این موضوع به قدری اهمیت دارد که متخصصین امنیت هشدار داده‌اند که در صورت دستیابی مهاجمان به کد مخرب آن، میبایست آماده حملاتی چون حملات Blaster worm در سال ۲۰۰۳ و حملات Wannacry در سال ۲۰۰۷ بود.

کمپانی مایکروسافت همچنین هشدار داده است که این سرویس دهنده که از طریق کتابخانه “rpcrt۴.dll” فعالیت دارد تنها بر روی سرویس‌های مایکروسافتی مورد استفاده قرار نگرفته و بلکه می‌تواند توسط نرم افزار‌های شخص ثالث مانند‌: سرویس‌های پشتیبان‌گیری، نرم افزار‌های آنتی‌ویروس و نرم‌افزار‌های کاربردی (endpoint software) نیز استفاده شود.

تمامی سیستم‌های دارای سیستم‌عامل ویندوز که پورت ۴۴۵ بر روی آن در سطح اینترنت در دسترس است، آسیب‌پذیر می باشند. همچنین تمامی سیستم‌هایی که پورت ۱۳۵ آنها چه در سطح شبکه اینترنت و شبکه داخلی خود در دسترس باشد، مستعد آسیب‌پذیری می باشند. تنها سیستم‌عامل‌های به‌روزشده به آخرین نسخه، از این آسیب‌پذیری مصون می‌باشند.

شاید با بستن پورت ۴۴۵ یا غیر فعال‌کردن پروتکل RPC در کل شبکه بتوان جلوی سوءاستفاده از این آسیب‌پذیری را گرفت اما به چند دلیل گزینه مناسبی جهت برخورد با این آسیب پذیری نیست.

  • مطابق با توصیه های مایکروسافت شما می‌توانید پروتکل RPC و پورت آن را در سیستم خود غیر فعال نمایید اما پس از انجام این کار برخی از نرم افزار ها و قابلیت ها توانایی انجام کار به صورت صحیح را نخواند داشت. به عنوان مثال این پروتکل در سرویس های زیر مورد استفاده قرار می گیرد.
    Fax Service
    Indexing Service
    IPSec Policy Agent
    Messenger
    Network Connections
    Print Spooler
    Protected Storage
    Removable Storage
    Routing Information Protocol (RIP) Listener
    Routing and Remote Access
    Task Scheduler
    Telephony
    Telnet
    Windows Installer
    Windows Management Instrumentation
    ,etc
  • قطع ارتباط خارجی سرویس دهنده RPC , SMB شاید بتواند جلوی تهدیدات خارج از شبکه را بگیرد اما باز هم جلوی تهدیدات شبکه داخلی را نمی گیرد. اگر مهاجم بتواند به هر طریق دسترسی به شبکه داخلی بگیرد می تواند از این آسیب پذیری جهت آلوده سازی سیستم های دیگر استفاده کند.
  • بستن ارتباط این سرویس دهنده ها در تجهیزات امنیتی مانند فایروال ها می تواند گزینه خوبی برای شبکه های سازمانی یکپارچه باشد اما در شبکه هایی که فاقد تجهیزات و دانش کافی می باشند این عمل دردسر ساز خواهد بود.
  • برخی از استفاده‌کنندگان در سطح اینترنت مانند کاربران خانگی دانش کافی جهت مسدود سازی و عواقب آن را ندارند.

طبق توضیحات ارائه شده بالا، تنها راه حل برای رفع این آسیب‌پذیری استفاده از وصله امنیتی ارائه شده توسط مایکروسافت است. به مدیران و مسئولان مرتبط اکیدا توصیه می‌شود تا وصله امنیتی را بر روی تمامی سیستم‌های خود اعمال کنند.

منبع : مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.