CVE-2022-26809: Puertos 445 expuestos podrían estar comprometiendo tu organización

En Chile, un alto porcentaje de los equipos utilizados para efectuar actividades normales de trabajo y vida cotidiana, funcionan con el sistema operativo MS Windows, cuyo software es actualizado recurrentemente con la liberación del conocido “Patch Tuesday”.

En la última versión del Patch Tuesday, se corrigieron varias vulnerabilidades, para evitar su explotación y mitigar cualquier intento de acceso o compromiso a los sistemas vulnerables,  destacando una vulnerabilidad existente en la biblioteca RPC, el que se encuentra presente en el sistema operativo para efectuar sesiones de red e intercambio de datos sobre procesos de manera remota.

Esta vulnerabilidad afecta principalmente a los puertos de comunicación 135, 139 y 445 TCP/UDP, donde se comunica el protocolo SMB y mapeo de nombres de red y en Chile, se han detectado a lo menos 1716 equipos con el puerto 445 expuesto hacia internet, lo que se traduce en una crítica y amplia superficie de ataque.

Equipos con puerto 445 expuesto detectados en Chile
 

Sumando a lo anterior, un alto porcentaje de estos equipos poseen autenticación deshabilitada a nivel de usuario, lo que favorece aún más el escenario vulnerable para los atacantes.

Detalles de la amenaza

Al explotar vulnerabilidades de este tipo, un atacante remoto no autenticado puede ejecutar código en la máquina vulnerable con los privilegios del servicio RPC.

La vulnerabilidad se puede explotar tanto desde fuera de la red como dentro de la red para el movimiento lateral entre máquinas, si se diseña un exploit con características de gusano, que aprovechen la existencia de los puertos asociados a la vulnerabilidad, para moverse automáticamente dentro de la red.

Como se puede ver en la tabla, el CVE-2022-26809 es un bug zero-clic, lo que significa que no requiere interacción de un usuario para ser explotado. Por esta razón, obtuvo la puntuación más alta con CVSS 9.8, lo que indica la alta gravedad de la vulnerabilidad, así como la probabilidad de que los atacantes se apresuren a explotarla.

Tabla explotabilidad de vulnerabilidades críticas

La vulnerabilidad radica en la ausencia de comprobación de un bloque de tamaño esperado (definido en el código del protocolo) cuando se reciben paquetes RPC cuyo “ancho” es mayor al admitido; esto permite que se escriban datos fuera de los límites en el heap, permitiendo a un atacante insertar código arbitrario y ejecutarlo de manera remota.

En la última actualización de esta vulnerabilidad, se agregaron dos bloques de código que efectúan esta comprobación al momento de manejar los paquetes de datos RPC.

Código de comprobación anti overflow adicionado
 

Cualquier máquina Windows, donde el puerto 445 esté expuesto y la biblioteca RPC no está parcheada en su última versión de Abril 2022, es vulnerable.

Según Microsoft, todos los servidores que escuchan en este puerto TCP son potencialmente vulnerables. 

Microsoft RPC

Las llamadas por Microsoft RPC (MSRPC) son uno de los protocolos más extendidos en uso en la actualidad. Permite la comunicación entre procesos, tanto en un solo host como en toda la red, y sirve como un componente fundamental para innumerables aplicaciones y servicios.

Ejemplo de explotación de RPC en casos reales:

• Ransomware Ryuk aprovecha la creación remota de tareas programadas mediante el protocolo RPC para el movimiento lateral y la propagación de malware.
• Un filtro RPC salió a la luz recientemente como una herramienta para mitigar PetitPotam, un ataque de escalada de privilegios dirigido al servidor RPC de la característica del sistema de cifrado de archivos (EFS) en Windows.

Escenario en Chile

Según los antecedentes previos y mediante búsquedas en  algunos motores de búsqueda, se ha logrado identificar lo siguiente:

Actualmente en Chile existen 1.716 IP expuestas a Internet por el puerto 445 abierto y que a su vez cuentan con sistema operativo Windows, que si bien a través del tiempo ha disminuido su exposición, este descenso ha ocurrido de una forma relativamente lenta.

Mapa de equipos expuestos por puerto 445 en Chile

De las IP identificadas anteriormente solo el 11,82 % mantiene la autenticación SMB deshabilitada, por lo que siguiendo esta misma línea se observa que  a nivel nacional aún existen host expuestos a Internet que se encuentran vulnerables a EternalBlue (SMBv1) y SMBGhost (SMBv3).

Distibucion de equipos SMB Authentication Enabled y Disabled

Ejemplo de SMB status Disabled

Equipos expuestos a EthernalBlue y SMBGhost en Chile

WorkAround

• Bloquear RPC por completo para mitigar estos ataques sería devastador para la funcionalidad de un centro de datos, ya que muchos servicios de Windows dependen de este protocolo.
• Los filtros RPC, sin embargo, brindan un control más granular del tráfico RPC que es esencial para proteger la red de nuevas amenazas.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.