Skip to content
Rejoignez Censys pour un atelier sur la chasse aux menaces et un Happy Hour ! | Le 17 avril au City Winery à Philadelphie - S'inscrire maintenant
Blogs

CVE-2022-26809 : Exécution de code à distance par Microsoft RPC

 

Introduction

Le 12 avril 2022, Microsoft a annoncé un correctif pour une vulnérabilité ciblant les hôtes Windows utilisant le Runtime RPC (Remote Procedure Call) communément utilisé avec Windows SMB. Cette vulnérabilité a reçu un score CVSS de 9.8 (critique) car l'attaque ne nécessite pas d'authentification et peut être exécutée à distance sur un réseau, et peut entraîner l'exécution de code à distance (RCE).

La vulnérabilité a été attribuée à CVE-2022-26809, et les administrateurs peuvent trouver plus d'informations sur le MSRC de Microsoft. Les détails sur la vulnérabilité exacte sont actuellement flous, car des acteurs malveillants pourraient utiliser ces informations pour créer un exploit vermoulu si trop d'informations sont divulguées au public. Nous savons que les hôtes Windows utilisant SMB sont vulnérables à cette attaque, et les propriétaires d'hôtes devraient suivre le guide de Microsoft pour sécuriser le trafic SMB dans Windows. Bien qu'il semble que la vulnérabilité existe dans tous les services qui utilisent les mécanismes RPC de Microsoft, SMB (port 445) est le plus utilisé et, par conséquent, la cible la plus probable d'une attaque.

Un point de vue Censys

Censys montrent qu'au 13 avril 2022, 1 304 288 hôtes utilisent le protocole SMB, dont 824 011 (63 %) ont été identifiés comme utilisant un système d'exploitation basé sur Windows. Les lecteurs doivent noter que Censys n'a pas pu déterminer le système d'exploitation d'environ 369 485 (28 %) hôtes utilisant le protocole SMB.

Les cinq pays les plus performants pour les PME

Pays Nombre d'hôtes
États-Unis 366,236
Russie 144,622
Hong Kong 72,885
Allemagne 70,980
France 56,659

Les cinq principaux systèmes autonomes des PME

Nom de l'AS Numéro AS Nombre d'hôtes
ROSTELECOM-AS AS12389 92,783
PEGTECHINC AS54600 52,200
EGIHOSTING AS18779 50,429
OVH AS16276 45,189
Communications de données HINET AS3462 41,428

Pour les clients de Censys

Un risque d'exposition des services SMB existe déjà pour les clients deCensys ASM, mais à la lumière de cette vulnérabilité, nous avons augmenté la criticité de "élevée" à "critique", ainsi qu'une note sur ce CVE.

Mises à jour

Censys continuera à suivre cette question et mettra à jour ce billet en conséquence.

A propos de l'auteur

Mark Ellzey
Chercheur principal en sécurité Tous les postes de Mark Ellzey
Mark Ellzey est chercheur principal en sécurité à l'adresse Censys. Avant d'occuper son poste actuel, Mark a travaillé pendant plus de 22 ans en tant qu'ingénieur en sécurité des réseaux et développeur de logiciels pour plusieurs fournisseurs de services Internet et institutions financières.
Solutions de gestion de la surface d'attaque
En savoir plus