Zum Inhalt springen
Besuchen Sie Censys für einen Bedrohungsabwehr Workshop & Happy Hour! | 17. April in der City Winery in Philadelphia | Jetzt anmelden
Blogs

CVE-2022-26809: Microsoft RPC Remote Code Execution

 

Einführung

Am 12. April 2022 kündigte Microsoft einen Fix für eine Sicherheitslücke an, die auf Windows-Hosts abzielt, auf denen die Remote Procedure Call Runtime (RPC) läuft, die üblicherweise mit Windows SMB verwendet wird. Diese Sicherheitsanfälligkeit wurde mit dem CVSS-Score 9.8 (kritisch) bewertet, da der Angriff keine Authentifizierung erfordert und aus der Ferne über ein Netzwerk ausgeführt werden kann, was zu einer Remotecodeausführung (RCE) führen kann.

Die Schwachstelle wurde CVE-2022-26809 zugeordnet, und Administratoren können weitere Informationen auf Microsofts MSRC finden. Details über die genaue Schwachstelle sind derzeit unklar, da böswillige Akteure diese Informationen nutzen könnten, um einen wurmfähigen Exploit zu erstellen, wenn zu viele Informationen an die Öffentlichkeit gelangen. Wir wissen, dass Windows-Hosts, auf denen SMB läuft, für diesen Angriff anfällig sind, und Host-Besitzer sollten den Microsoft-Leitfaden zur Sicherung des SMB-Datenverkehrs in Windows befolgen. Zwar scheint die Schwachstelle bei jedem Dienst aufzutreten, der die RPC-Mechanismen von Microsoft nutzt, doch SMB (Port 445) wird am häufigsten verwendet und ist daher das wahrscheinlichste Ziel eines Angriffs.

Eine Censys Ansicht

Censys Daten zeigen, dass mit Stand vom 13. April 2022 1.304.288 Hosts das SMB-Protokoll verwenden, von denen 824.011 (63 %) als Windows-basiertes Betriebssystem identifiziert wurden. Die Leser sollten beachten, dass Censys das Betriebssystem von ca. 369.485 (28 %) Hosts, die SMB verwenden, nicht bestimmen konnte.

Die fünf wichtigsten Länder für SMB

Land Host-Zahl
Vereinigte Staaten 366,236
Russland 144,622
Hongkong 72,885
Deutschland 70,980
Frankreich 56,659

Die fünf wichtigsten autonomen Systeme für SMB

AS Name AS-Nummer Host-Zahl
ROSTELECOM-AS AS12389 92,783
PEGTECHINC AS54600 52,200
EGIHOSTING AS18779 50,429
OVH AS16276 45,189
HINET Datenkommunikation AS3462 41,428

Für Censys Kunden

Ein Risiko für gefährdete SMB-Dienste besteht bereits für Censys ASM-Kunden, aber angesichts dieser Schwachstelle haben wir die Kritikalität von "hoch" auf "kritisch" erhöht und einen Hinweis auf diese CVE hinzugefügt.

Aktualisierungen

Censys wird dieses Problem weiter beobachten und diesen Beitrag entsprechend aktualisieren.

Über den Autor

Mark Ellzey
Senior Security Researcher Alle Beiträge von Mark Ellzey
Mark Ellzey ist ein leitender Sicherheitsforscher bei Censys. Vor seiner jetzigen Tätigkeit war Mark Ellzey über 22 Jahre lang als Netzwerksicherheitsingenieur und Softwareentwickler für verschiedene Internetdienstleister und Finanzinstitute tätig.
Lösungen für das Management von Angriffsflächen
Mehr erfahren