Ir al contenido
Únase a Censys para un taller de caza de amenazas y una hora feliz. | 17 de abril en City Winery en Filadelfia | Inscríbase ahora
Blogs

CVE-2022-26809: Ejecución remota de código RPC de Microsoft

 

Introducción

El 12 de abril de 2022, Microsoft anunció la corrección de una vulnerabilidad dirigida a hosts Windows que ejecutan el Remote Procedure Call Runtime (RPC) utilizado habitualmente con Windows SMB. Esta vulnerabilidad ha recibido una puntuación CVSS de 9,8 (crítica), ya que el ataque no requiere autenticación y puede ejecutarse de forma remota a través de una red, pudiendo dar lugar a la ejecución remota de código (RCE).

A la vulnerabilidad se le asignó CVE-2022-26809, y los administradores pueden encontrar más información en el MSRC de Microsoft. Los detalles sobre la vulnerabilidad exacta son actualmente difusos, ya que los malos actores pueden utilizar esta información para crear un exploit de gusano si se divulga demasiada información al público. Sabemos que los hosts Windows que ejecutan SMB son vulnerables a este ataque, y los propietarios de hosts deberían seguir la guía de Microsoft para proteger el tráfico SMB en Windows. Aunque parece que la vulnerabilidad existe en cualquier servicio que utilice los mecanismos RPC de Microsoft, SMB (puerto 445) es el más utilizado y, por tanto, el objetivo más probable de un ataque.

Una visión de Censys

Censys muestran que el 13 de abril de 2022, 1.304.288 hosts ejecutaban el protocolo SMB, de los cuales 824.011 (63%) se identificaron como ejecutando un sistema operativo basado en Windows. Los lectores deben tener en cuenta que Censys no pudo determinar el sistema operativo en ejecución para aproximadamente 369.485 (28%) hosts que ejecutan SMB.

Los cinco países con más PYME

País Recuento de anfitriones
Estados Unidos 366,236
Rusia 144,622
Hong Kong 72,885
Alemania 70,980
Francia 56,659

Los cinco principales sistemas autónomos de las PYME

Nombre AS Número AS Recuento de anfitriones
ROSTELECOM-AS AS12389 92,783
PEGTECHINC AS54600 52,200
EGIHOSTING AS18779 50,429
OVH AS16276 45,189
Comunicaciones de datos HINET AS3462 41,428

Para los clientes de Censys

Ya existe un riesgo de servicios SMB expuestos para los clientes deCensys ASM, pero a la luz de esta vulnerabilidad, hemos aumentado la criticidad de "alta" a "crítica" junto con una nota sobre esta CVE.

Actualizaciones

Censys seguiremos vigilando este asunto y actualizaremos este post en consecuencia.

Sobre el autor

Mark Ellzey
Senior Security Researcher Todos los puestos de Mark Ellzey
Mark Ellzey es investigador principal de seguridad en Censys. Antes de ocupar su puesto actual, Mark ha trabajado como ingeniero de seguridad de redes y desarrollador de software para varios proveedores de servicios de Internet e instituciones financieras durante más de 22 años.
Soluciones de gestión de la superficie de ataque
Más información