Introducció
Microsoft ha publicat pedaços per a 128 vulnerabilitats amb numeració CVE. Tres d’elles són vulnerabilitats d’execució remota de codi (CVE-2022-26809, CVE-2022-24491, CVE-2022-24497), amb una puntuació CVSS de 9,8 [1].
Anàlisi
CVE-2022-26809 [2]
Aquesta vulnerabilitat es troba en la funcionalitat de Microsoft Server Message Block (SMB). El protocol SMB s’utilitza principalment per a compartir arxius i per a la comunicació entre processos, incloses les cridades a procediments remots (RPC). Utilitzant la vulnerabilitat, un atacant pot crear una RPC especialment dissenyada per a executar codi en el servidor remot amb els mateixos permisos que el servei RPC. Microsoft recomana configurar algunes regles del Firewall [3] per a ajudar a evitar que aquesta vulnerabilitat siga explotada. No obstant això, per als clients que requereixen aquesta funcionalitat, aquesta guia té una eficàcia limitada.
CVE-2022-24491 i CVE-2022-24497 [4][5]
En sistemes on el rol NFS està habilitat, un atacant remot podria executar el seu codi en un sistema afectat amb alts privilegis i sense interacció de l’usuari. Igual que en el cas de RPC, això sol bloquejar-se en el perímetre de la xarxa. Tanmateix, Microsoft proporciona una guia sobre com el multiplexor de ports RPC (port 2049) “és amigable amb els Firewall i simplifica el desplegament de NFS”. Comprove les seues instal·lacions i desplegue aquests pedaços ràpidament.
Recomanacions
Apliqueu els pedaços de Microsoft. Apliqueu també, si escau, les configuracions de firewall recomanades en [3]
Referències
[1] Microsoft fixes actively exploited zero-day reported by the NSA (CVE-2022-24521) – Help Net Security