🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
الفئة:
ذكاء نقاط الضعففئة نقاط الضعف الأمنية:
تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف:
CVE-2022-26809السيرة الذاتية: 3.0 النتيجة:
9.8 حرجة
لقطة شاشة للمحادثة في منتدى الجرائم الإلكترونية [/caption]
مقتطف من المنشور من قبل ممثل تهديد مختلف يعلن عن استغلاله [/caption]
[معرف التسمية التوضيحية = «المرفق _20943" align= «alignnone» width="401"]
لقطة شاشة من Shodan تصور 1,707,532 آلة مكشوفة علنًا تعمل بتقنية RPC [/caption]
ملخص تنفيذي
تهديدتأثيرتخفيف- الجهات الفاعلة في مجال التهديد التي تناقش استغلال CVE-2022-26809، وهو RCE موجود في وقت تشغيل Windows RPC.
- يتم بيع استغلال محتمل للعمل مقابل 105 دولارًا أمريكيًا.
- الوصول إلى الجهاز باستخدام RPC الضعيف.
- يمكن استخدام الاستغلال لتنفيذ الأوامر بنفس مستوى الامتياز مثل خادم RPC.
- قم بتطبيق آخر تحديثات الأمان.
- قم بحظر حركة المرور إلى منفذ TCP 445 للخدمات خارج محيط المؤسسة.
- قم بتقييد الحركة الجانبية من خلال مراقبة الإدخال على منفذ TCP 445.
التحليل والإسناد
معلومات من البريد
- كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت الجهات الفاعلة في مجال التهديد التي تتحدث عن استغلال CVE-2022-26809، في منتديات الجرائم الإلكترونية.
- CVE-2022-26809 هي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد موجودة في مكون Windows الأساسي، وقت تشغيل استدعاء الإجراء البعيد (RPC).
- لا يتطلب الهجوم المصادقة ويمكن تنفيذه عن بُعد عبر الشبكة، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد (RCE) بامتيازات خدمة RPC، والتي تعتمد على العملية التي تستضيف وقت تشغيل RPC.
- يمكن استغلال الثغرة الأمنية من خارج الشبكة وبين أجهزة الشبكة من أجل اختراقها.
لقطة شاشة للمحادثة في منتدى الجرائم الإلكترونية [/caption]
معلومات من OSINT
- يشير بحث Shodan إلى وجود 1,707,532 جهازًا معروضًا للجمهور تعمل بنظام RPC.
- شوهد أحد ممثلي التهديد وهو يبيع استغلالًا للثغرة الأمنية على GitHub.
- لا يمكن عزو مصداقية ممثل التهديد هذا في الوقت الحالي، بسبب عدم كفاية المعلومات.
- تشير التغريدات التي نشرها باحثو التهديدات إلى أنه يتم استخدام استغلال لهذا CVE في البرية للوصول.
معلومات من منتديات الجرائم الإلكترونية
- كان أحد ممثلي التهديد يبيع استغلال الثغرة الأمنية المذكورة أعلاه مقابل 105 دولارًا أمريكيًا (بالعملة المشفرة).
- ذكر الممثل أنه مستعد لبيع 25 نسخة من الاستغلال.
- تم بيع 22 نسخة بالفعل بحلول 18 سبتمبر 2022.
التأثير والتخفيف
تأثيرتخفيف- يمنح الاستغلال المهاجمين القدرة على تنفيذ أي أوامر بنفس مستوى الامتياز مثل خادم RPC.
- يحتوي خادم RPC، في كثير من الحالات، على أذونات مرتفعة أو على مستوى النظام، مما يوفر وصولاً إداريًا كاملاً إلى الجهاز المستغل.
- يمكن زيادة الوصول من خلال الحركة الجانبية و/أو تصعيد الامتيازات.
- يمكّن الوصول المزعوم المهاجمين من تنزيل البيانات وتعديلها وإطلاق هجمات برامج الفدية.
- قم بتطبيق آخر تحديثات الأمان للتخفيف من هذه الثغرات الأمنية.
- RPC مطلوب للأجهزة المستخدمة من قبل النظام. يوصى بحظر حركة المرور إلى منفذ TCP 445 للخدمات خارج محيط المؤسسة.
- قم بتقييد الحركة الجانبية من خلال تمكين منفذ TCP الوارد 445 فقط للأجهزة التي تتطلب ذلك، مثل خوادم الطباعة ووحدات تحكم المجال وخوادم الملفات وما إلى ذلك.
قائمة الإصدارات المتأثرة
نظام التشغيل Windows 7لأنظمة 32 بت حزمة الخدمة 1 للأنظمة المستندة إلى x64 حزمة الخدمة 1ويندوز 8.1لأنظمة 32 بت لنظام التشغيل Windows RT 8.1 للأنظمة المستندة إلى x64نظام التشغيل Windows 10الإصدار 20H2 للأنظمة المستندة إلى ARM64الإصدار 1909 للأنظمة المستندة إلى ARM64الإصدار 1809 للأنظمة المستندة إلى x64الإصدار 21H2 للأنظمة المستندة إلى x64الإصدار 21H2 للأنظمة المستندة إلى x64الإصدار 21H2 للأنظمة المستندة إلى ARM64الإصدار 21H2 للأنظمة 32 بت الإصدار 1809 للأنظمة 32 بت الإصدار 21H1 للأنظمة ذات 32 بت الإصدار 21H1 للأنظمة المستندة إلى ARM64الإصدار 20H2 للأنظمة المستندة إلى x64 للأنظمة المستندة إلى x64الإصدار 1607 للأنظمة المستندة إلى x64الإصدار 1607 لأنظمة 32 بت للأنظمة المستندة إلى x64الإصدار 1909 للأنظمة المستندة إلى x64الإصدار 1909 لـ 32 بت إصدار الأنظمة 1809 للأنظمة المستندة إلى ARM64نظام التشغيل Windows 11للأنظمة المستندة إلى ARM64 للأنظمة المستندة إلى x64ويندوز سيرفر 2008R2 للأنظمة المستندة إلى x64 حزمة الخدمة 1 (تثبيت الخادم الأساسي) R2 للأنظمة المستندة إلى x64 حزمة الخدمة 1 للأنظمة المستندة إلى x64 حزمة الخدمة 2 (تثبيت الخادم الأساسي) للأنظمة المستندة إلى x64 حزمة الخدمة 2 لأنظمة 32 بت حزمة الخدمة 2 (تثبيت الخادم الأساسي) لأنظمة 32 بت حزمة الخدمة 2خادم ويندوزويندوز سيرفر 2012 R2 (تثبيت سيرفر كور) ويندوز سيرفر 2012 R2 ويندوز سيرفر 2012 (تثبيت سيرفر كور) ويندوز سيرفر 2012 ويندوز سيرفر 2016 ويندوز سيرفر 2016 (تثبيت سيرفر كور) ويندوز سيرفر، إصدار 20H2 (تثبيت سيرفر كور) ويندوز سيرفر 2019 (تثبيت سيرفر كور) ويندوز سيرفر 2019 (تثبيت سيرفر كور) ويندوز سيرفر 2019 ويندوز سيرفر 2019 ويندوز سيرفر 2022 (تثبيت سيرفر كور) ويندوز سيرفر 2022المراجع
- #بروتوكول إشارات المرور - ويكيبيديا
- CVE-2022-26809 - دليل التحديث الأمني - Microsoft - ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في وقت تشغيل المكالمات عن بُعد
- الوصول إلى هذا الكمبيوتر من الشبكة - إعداد سياسة الأمان (Windows 10) - أمان Windows | Microsoft Learn
الملحق
[معرف التسمية التوضيحية = «المرفق _20942" align= «alignnone» العرض = «1072"] مقتطف من المنشور من قبل ممثل تهديد مختلف يعلن عن استغلاله [/caption]
[معرف التسمية التوضيحية = «المرفق _20943" align= «alignnone» width="401"] لقطة شاشة من Shodan تصور 1,707,532 آلة مكشوفة علنًا تعمل بتقنية RPC [/caption]
