En cas d’exploitation, toutes les commandes seront exécutées au même niveau de privilège que le serveur RPC, qui dans de nombreux cas dispose d’autorisations élevées ou de niveau SYSTEM, offrant un accès administratif complet au périphérique exploité.
Toute machine Windows (station ou serveur) où le port 445 est exposé et où la bibliothèque d’exécution RPC n’est pas patchée est vulnérable. Selon Shodan, plus de 700 000 machines Windows exposent ce port sur Internet. Selon Microsoft, les serveurs non patchés qui écoutent sur ce port TCP sont potentiellement vulnérables.
Le protocole Microsoft Remote Procedure Call (RPC) est un protocole de communication qui permet aux processus de communiquer entre eux, même si ces programmes s’exécutent sur un autre appareil.Les hôtes RPC écoutent les connexions distantes sur les ports TCP, le plus souvent les ports 445 et 135.
Cette CVE est causée par une vulnérabilité dans l’une des fonctions de la dll « rpcrt4.dll ». Elle est de type integer overflow et mène à un heap buffer overflow, où les données sont copiées sur un buffer qui est trop petit pour le remplir. Ceci, à son tour, permet aux données d’être écrites en dehors des limites du buffer, sur la heap. Lorsqu’elle est exploitée correctement, cela peut conduire à une exécution de code. Vous trouverez les explications techniques détaillées concernant cette faille sur ce post de blog. Pour plus de détails sur les heap overflow, vous avez un article ici qui explique le concept :
Appliquez les dernières mises à jour de sécurité qui atténuent ces vulnérabilités.Bien que RPC soit nécessaire pour les services utilisés par le système, il est recommandé de bloquer le trafic vers le port TCP 445 pour les appareils situés en dehors du périmètre de l’entreprise.Limiter les mouvements latéraux en autorisant le port TCP 445 entrant uniquement sur les machines où il est nécessaire (par exemple, les contrôleurs de domaine, les serveurs d’impression, les serveurs de fichiers, etc.)
Systèmes concernés :
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows 11 for ARM64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 1809 for 32-bit Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 11 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019Ci-dessous le bulletin d’annonce officiel de l’ANSSI :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-003/
.png)
.png)
.png)
.png)
.png)
.png)