Microsoft, güvenlik araştırmacıları arasında endişe uyandıran yeni bir Windows RPC CVE-2022-26809 güvenlik açığını düzeltti. Bu nedenle, tüm kuruluşların Windows güvenlik güncellemelerini bir an önce uygulaması gerekiyor. Microsoft, Nisan 2022 Salı Yaması güncellemelerinin bir parçası olarak bu güvenlik açığını düzeltti ve Microsoft Remote Procedure Call (RPC) iletişim protokolündeki hata yetkisiz uzaktan kod yürütülmesine izin verdiği için ‘Kritik’ olarak derecelendirdi. Zafiyetin istismar edilmesi cihaza tam yönetici erişimi sağlıyor. RPC, RPC ana bilgisayarlarının TCP bağlantı noktaları, en yaygın olarak 445 ve 135 numaralı bağlantı noktaları üzerinden uzak bağlantıları dinlemesiyle, farklı aygıtlardaki işlemlerin birbirleriyle iletişim kurmasına olanak tanıyor.
Microsoft güvenlik güncellemelerini yayınladıktan sonra, güvenlik araştırmacıları bu zafiyetin saldırılarda kullanılma potansiyelini hızla gördüler. Örneğin, Akamai’deki araştırmacılar, hatayı rpcrt4.dll DLL dosyasındaki bir yığın arabellek taşmasına kadar takip ettiler. Sentinel One araştırmacısı Antonio Cocomazzi de yerleşik bir Windows hizmetinde değil, özel bir RPC sunucusunda başarıyla kullandı. İyi haber şu ki, savunmasız olmak için belirli bir RPC yapılandırması gerektirebilir, ancak bu hala analiz ediliyor.
Araştırmacılar hala hatanın tüm teknik ayrıntılarını ve onu güvenilir bir şekilde nasıl kullanabileceklerini araştırıyor. CERT/CC’de güvenlik açığı analisti olan Will Dormann, güvenlik açığı bulunan sunucuların internet’e açık kalmaması için tüm yöneticilerin 445 numaralı bağlantı noktasını engellemesi gerektiği konusunda uyarıyor. Ancak, güvenlik güncellemeleri yüklenmedikçe sistemlerin saldırılara karışı savunmasız olduğu unutulmamalıdır.
Bu güvenlik açığı bir ağda yanal olarak yayılmak için ideal olduğundan, gelecekte fidye yazılımı çeteleri tarafından kullanıldığını neredeyse kesin olarak göreceğiz.
Kaynak: bleepingcomputer.com