image

Microsoft dicht actief aangevallen zeroday in Windows en drie 'wormable' lekken

woensdag 13 april 2022, 11:44 door Redactie, 7 reacties

Microsoft heeft tijdens de patchdinsdag van april 128 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows en drie kwetsbaarheden die 'wormable' zijn. Het zerodaylek, aangeduid als CVE-2022-24521, bevindt zich in de Windows Common Log File System Driver en zorgt ervoor dat een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het beveiligingslek maakt het niet mogelijk om een systeem op afstand over te nemen.

Details over de waargenomen aanvallen worden niet gegeven. Het beveiligingslek werd gevonden door een onderzoeker van securitybedrijf Crowdstrike en de Amerikaanse geheime dienst NSA en gerapporteerd aan Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De gevaarlijkste kwetsbaarheden waarvoor Microsoft deze maand updates uitrolde, met een impactscore van 9.8, zijn aanwezig in de RPC Runtime Library en het Windows Network File System. Ze maken het in bepaalde omstandigheden mogelijk om systemen zonder enige interactie van gebruikers over te nemen.

In theorie zouden de kwetsbaarheden, die aanwezig zijn in alle ondersteunde Windowsversies, door een computerworm zijn te gebruiken. "In ieder geval tussen machines waar RPC toegankelijk is", zegt Dustin Childs van het Zero Day Initiative over het lek in de RPC Runtime Library (CVE-2022-26809). Een aanval zou alleen over tcp-poort 135 mogelijk zijn, die volgens Childs meestal op de netwerkperimeter wordt geblokkeerd. Aanvallers zouden het lek wel kunnen gebruiken om zich lateraal door een al gecompromitteerd netwerk te bewegen.

De andere twee "wormable" kwetsbaarheden (CVE-2022-24491 en CVE-2022-24497) zijn aanwezig in het Windows Network File System en maken ook remote code execution zonder interactie van gebruikers mogelijk. Voorwaarde is wel dat voor het systeem de "NFS role" staat ingeschakeld. Een computerworm zou zich zo zonder interactie van gebruikers tussen NFS-servers kunnen verspreiden.

Childs roept organisaties dan ook op om de updates voor deze drie kwetsbaarheden snel uit te rollen en ook Microsoft verwacht dat aanvallers misbruik van de lekken zullen gaan maken. De patches worden op de meeste systemen automatisch geïnstalleerd.

Reacties (7)
13-04-2022, 12:41 door Anoniem
Opvallend dat Dustin het bij de RPC kwetsbaarheid heeft over 135/tcp. In de Microsoft Advisory staat dit niet expliciet vermeld, al staat er bij 'guidenace' wel het advies om poort 445/tcp zowel inkomend als uitgaand standaard te blokkeren.

Voor zover ik - als ondeskundige - weet kan SMB2 ook gebruikt worden voor het uitvoeren van RPC calls. Daarmee zou zowel 135/tcp als 445/tcp gebruikt kunnen worden. (En misschien 139/tcp ook nog).

Toch maar even de PoC even afwachten...
13-04-2022, 16:49 door Anoniem
Door Anoniem: Opvallend dat Dustin het bij de RPC kwetsbaarheid heeft over 135/tcp. In de Microsoft Advisory staat dit niet expliciet vermeld, al staat er bij 'guidenace' wel het advies om poort 445/tcp zowel inkomend als uitgaand standaard te blokkeren.

Voor zover ik - als ondeskundige - weet kan SMB2 ook gebruikt worden voor het uitvoeren van RPC calls. Daarmee zou zowel 135/tcp als 445/tcp gebruikt kunnen worden. (En misschien 139/tcp ook nog).

Toch maar even de PoC even afwachten...

Waarom staan die ports standaard open dan? Daar zal dan wel een reden voor zijn anders doe je zoiets toch niet? Als je de computer uitzet dan ben je ook niet kwetsbaar...
13-04-2022, 17:32 door Anoniem
Door Anoniem: Waarom staan die ports standaard open dan? Daar zal dan wel een reden voor zijn anders doe je zoiets toch niet?
Die poorten staan standaard open omdat het een Microsoft product is. Waarom al die Microsoft protocollen en implementaties keer op keer lek blijken te zijn weet ik niet, dat zou je aan Microsoft moeten vragen. Het is wel veelzeggend dat ze de hele implementatie van dit protocol nog niet hebben herschreven in Rust.
13-04-2022, 19:54 door walmare
Houdt hier toch eens mee op met deze lage kwaliteit software. Elke maand kritiek lek en dat jaren lang (op 1 maand na) is vragen op problemen. Het wordt tijd dat er eens wat managers ontslagen gaan worden voor gebruik van consumenten software in een professionele setting.
14-04-2022, 01:50 door Anoniem
Door Anoniem:Waarom staan die ports standaard open dan? Daar zal dan wel een reden voor zijn anders doe je zoiets toch niet? Als je de computer uitzet dan ben je ook niet kwetsbaar...

Die poorten worden gebruikt voor het via het netwerk uitvoeren van opdrachten (RPC,135) en voor shares (SMB,445).

RPC=Remote Procedure Call
SMB=Server Message Block

De RPC poort kun je blokkeren met een firewallregel. NetBIOS kun je uitzetten op de netwerk adapter (Client for Microsoft Networks) en Server/Workstation services kun je uitschakelen.

20 jaar geleden, bij Windows NT 4, kon je alle poorten dichtzetten en verder werken. Bij een moderne Windows versie werkt dan een hoop niet meer.
14-04-2022, 11:41 door Anoniem
Door walmare: Houdt hier toch eens mee op met deze lage kwaliteit software.
that's cute. Schrijf jij dan ff de nu-en-later 100% waterdichte specs? schreeuwen van de zijlijn is zo makkelijk en zo flauw.
14-04-2022, 18:44 door Anoniem
Door Anoniem:
Door walmare: Houdt hier toch eens mee op met deze lage kwaliteit software.
that's cute. Schrijf jij dan ff de nu-en-later 100% waterdichte specs? schreeuwen van de zijlijn is zo makkelijk en zo flauw.
We hebben het hier over de zeer beroerde kwaliteit van een implementatie. Ik ken wel meedere een posix implementaties die superieur zijn op alle gebieden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.