کمیته رکن چهارم – وجود آسیبپذیری بحرانی در تکنولوژی ارتباطی RPC گزارش شده است که در صورت سوءاستفاده موفق مهاجم بدون احراز هویت میتواند به گرفتن سطح دسترسی Admin در سرویس دهنده آسیبپذیر از راه دور اقدام کند.
در روزهای اخیر، وجود آسیبپذیری بحرانی با شناسه CVE-۲۰۲۲-۲۶۸۰۹ و شدت خطر CVSS ۹.۸ در تکنولوژی ارتباطی RPC گزارش شده است که در صورت سوءاستفاده موفق مهاجم بدون احراز هویت میتواند به گرفتن سطح دسترسی Admin در سرویس دهنده آسیبپذیر از راه دور اقدام کند.
تکنولوژی RPC و یا Remote procedure call به پردازشهای سیستمی این اجازه را میدهد که حتی اگر روی یک دستگاه متفاوت دیگر در حال اجرا هستند با یکدیگر ارتباط داشته باشند. بدین ترتیب، سیستم عامل میتواند از مزایا اجزای پیرامون خود و شبکه متصل، بدون نیاز به شناخت پروتکلهای متفاوت استفاده شده، بهرهمند شود. این تکنولوژی به صورت پیشفرض از پورتهای ۴۴۵ و ۱۳۵ نیز جهت سهولت در کار استفاده میکند.
آسیبپذیری مذکور پتانسیل سوءاستفاده بسیار داشته و میتواند زمینه را برای گسترش تهدیدات سایبری در شبکه از طریق Lateral movment فراهم نماید و بستری برای اهداف مخرب اعم از انتشار بدافزارها باشد. این موضوع به قدری اهمیت دارد که متخصصین امنیت هشدار دادهاند که در صورت دستیابی مهاجمان به کد مخرب آن، میبایست آماده حملاتی چون حملات Blaster worm در سال ۲۰۰۳ و حملات Wannacry در سال ۲۰۰۷ بود.
کمپانی مایکروسافت همچنین هشدار داده است که این سرویس دهنده که از طریق کتابخانه “rpcrt۴.dll” فعالیت دارد تنها بر روی سرویسهای مایکروسافتی مورد استفاده قرار نگرفته و بلکه میتواند توسط نرم افزارهای شخص ثالث مانند: سرویسهای پشتیبانگیری، نرم افزارهای آنتیویروس و نرمافزارهای کاربردی (endpoint software) نیز استفاده شود.
تمامی سیستمهای دارای سیستمعامل ویندوز که پورت ۴۴۵ بر روی آن در سطح اینترنت در دسترس است، آسیبپذیر می باشند. همچنین تمامی سیستمهایی که پورت ۱۳۵ آنها چه در سطح شبکه اینترنت و شبکه داخلی خود در دسترس باشد، مستعد آسیبپذیری می باشند. تنها سیستمعاملهای بهروزشده به آخرین نسخه، از این آسیبپذیری مصون میباشند.
شاید با بستن پورت ۴۴۵ یا غیر فعالکردن پروتکل RPC در کل شبکه بتوان جلوی سوءاستفاده از این آسیبپذیری را گرفت اما به چند دلیل گزینه مناسبی جهت برخورد با این آسیب پذیری نیست.
- مطابق با توصیه های مایکروسافت شما میتوانید پروتکل RPC و پورت آن را در سیستم خود غیر فعال نمایید اما پس از انجام این کار برخی از نرم افزار ها و قابلیت ها توانایی انجام کار به صورت صحیح را نخواند داشت. به عنوان مثال این پروتکل در سرویس های زیر مورد استفاده قرار می گیرد.
Fax Service
Indexing Service
IPSec Policy Agent
Messenger
Network Connections
Print Spooler
Protected Storage
Removable Storage
Routing Information Protocol (RIP) Listener
Routing and Remote Access
Task Scheduler
Telephony
Telnet
Windows Installer
Windows Management Instrumentation
,etc - قطع ارتباط خارجی سرویس دهنده RPC , SMB شاید بتواند جلوی تهدیدات خارج از شبکه را بگیرد اما باز هم جلوی تهدیدات شبکه داخلی را نمی گیرد. اگر مهاجم بتواند به هر طریق دسترسی به شبکه داخلی بگیرد می تواند از این آسیب پذیری جهت آلوده سازی سیستم های دیگر استفاده کند.
- بستن ارتباط این سرویس دهنده ها در تجهیزات امنیتی مانند فایروال ها می تواند گزینه خوبی برای شبکه های سازمانی یکپارچه باشد اما در شبکه هایی که فاقد تجهیزات و دانش کافی می باشند این عمل دردسر ساز خواهد بود.
- برخی از استفادهکنندگان در سطح اینترنت مانند کاربران خانگی دانش کافی جهت مسدود سازی و عواقب آن را ندارند.
طبق توضیحات ارائه شده بالا، تنها راه حل برای رفع این آسیبپذیری استفاده از وصله امنیتی ارائه شده توسط مایکروسافت است. به مدیران و مسئولان مرتبط اکیدا توصیه میشود تا وصله امنیتی را بر روی تمامی سیستمهای خود اعمال کنند.
منبع : مرکز ماهر