Browsed by
Štítek: vulnerability

Critical Windows Vulnerability

Critical Windows Vulnerability

Microsoft zveřejnil novou kritickou zranitelnost, označenou CVE: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26809

Co to přesně znamená? Zde je vysvětlení od společnosti Microsoft:

Chyba zabezpečení při vzdáleném spuštění kódu za využití vzdálené volání procedury

Aby mohl útočník tuto chybu zabezpečení zneužít, musel by hostiteli RPC odeslat speciálně vytvořené volání RPC. To by mohlo mít za následek vzdálené spuštění kódu na straně serveru se stejnými oprávněními jako služba RPC.

Jaké operační systémy Windows jsou zranitelné?

  • Windows Server 2008 a výš
  • Windows 7 a výš

Co s tím můžete dělat a jak vám může pomoci LOGmanager?

  1. Nainstalujte poslední bezpečnostní záplaty. Díky aktuálnímu operačnímu systému nebudete vůči této hrozbě zranitelní.
  2. Ujistěte se, že máte zakázanou komunikaci pro port 445 na firewallu, směrem z internetu do vnitřní sítě. K využití této zranitelnosti potřebuje útočník pouze otevřený port 445, bez jakéhokoliv speciálního oprávnění.
  3. Zkontrolujte pomocí LOGmanageru komunikaci z internetu na portu 445 směrem do vnitřní sítě. Pro to pochopitelně potřebujete provádět sběr logů z firewallů. Pro ukázku tady máme logy z next-gen firewallů Fortinet FortiGate:

Jak vidíte, za posledních 7 dní jsme zaznamenali 734 pokusů o připojení k portu 445. Protože jsem použil filtr msg.src_ip:192.168.* OR msg.src_ip:172.16.* OR 10.* nastavený na NOT. Jsem si jistý, že všechna tato spojení pocházela mimo mou síť – jinými slovy, pokud je zdrojová IP v rozsahu privátních adres (RFC 1918), LOGmanager ji na panelu nezobrazí. Nyní se podíváme, zda bylo na firewallu akceptováno nějaké připojení.

Vypadá to, že ne – všech 734 připojení bylo odmítnuto. To je dobře – to znamená, že nikdo nebyl schopen otevřít zvenčí port 445.

Můžeme také zkontrolovat, ze kterých zemí tato připojení pocházejí.

Vypadá to, že se jedná většinou o Bulharsko/Rusko. To samozřejmě neznamená, že útočník skutečně sedí v jedné z těchto zemí – obvykle využívají VPN/Jumphosty/TOR, aby skryli svůj původ.

V tomto případě to vypadá, že je naše síť v bezpečí. Ale v moment, kdy byste po použití výše uvedených filtrů viděli jakýkoli provoz se statusem „akceptováno“ , důrazně doporučuji provést úplnou investigaci a hledat indikátory kompromitace (IoC) – například trvalé připojení z vaší sítě směrem do internetu s nastavenými intervaly (kanály C&C). Existuje možnost, že zranitelnost proběhla ještě před jejím objevením…

Existuje také možnost využít tuto zranitelnost a spustit útok zevnitř sítě – v takovém případě ho bude mnohem obtížnější odhalit pouhým pohledem na provoz, protože bude smíchaný s legitimními připojeními. Co však můžete udělat, je obrátit NOT filter tak, aby zobrazoval spojení přicházející POUZE zevnitř vaší sítě, a pak zkontrolovat, zda cílové servery vůbec mají mít spuštěnou službu SMB na portu 445 – někdy prostě zapomeneme některé služby zakázat.

S obráceným filtrem nyní vidím 6773 připojení k portu 445.

Nyní mohu prozkoumat, jaké servery uvedené v grafu Destination IP mají mít spuštěnou službu SMB, a zakázat ji tam, kde není potřeba.

To je vše, přátelé! Chcete-li se dozvědět více o tom, jak využít Dashboardy LOGmanageru k provádění analýz/investigace, podívejte se na naše uživatelské fórum a kanál Youtube, kde sdílíme spoustu obsahu.

LOGmanager – Forum

LOGmanager – YouTube

Microsoft just issued a new CVE: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26809

What does this mean exactly? Here is an explanation from Microsoft:

Remote Procedure Call Runtime Remote Code Execution Vulnerability

To exploit this vulnerability, an attacker would need to send a specially crafted RPC call to an RPC host. This could result in remote code execution on the server side with the same permissions as the RPC service.

Which Windows Systems are vulnerable?

  • Windows Server 2008 and above
  • Windows 7 and above

So what can you do about it and how LOGmanager can help?

  1. Apply newest Microsoft patch to your systems. This will ensure you are not vulnerable to this exploit.
  2. Make sure port 445 is closed on firewall for traffic coming from outside. To run this exploit attacked does not need any access permissions – just an open port 445.
  3. Check connections from outside to port 445 on LOGmanager. Of course you need logs from your FW to do this. We have Fortigate logs so for example:

 

As you can see we had 734 connection attempts to port 445 in last 7 days. Because I used filter msg.src_ip:192.168.* OR msg.src_ip:172.16.* OR 10.* set to NOT, I’m sure all those connections came from outside of my network – in other words, if source IP is in range of private addresses (RFC 1918) LOGmanager will not show it on dashboard.

Now lets see if any connection were accepted on the firewall.

Look like no – all 734 connections were denied. That’s good – meaning no one was able to access port 445 from outside.

We can also check from which countries those connections came.

Looks like mostly Bulgaria/Russia. This of course does not mean that attacker is actually sitting in one of those countries – usually they make use of VPNs/Jumphosts/TOR/Whatever to mask their origin.

Now, in this case, looks like our network is safe. But in case you’d see any traffic with status accept after applying above filters I strongly suggest to run full investigation and look for indicators of compromise (IoC) – for example persistent connection to outside from your network with set intervals (C&C channels). There is a possibility exploit was running in the wild before it was discovered…

There is also a possibility to run this attack from inside of your network – in that case it will be much harder to detect just by looking at traffic, since it will be mixed with legitimate connections. What you can do though is reverse NOT filter to show connections coming ONLY from inside of your network and then check if destination servers are even supposed to have SMB service running on port 445 – sometimes we simply forget to disable certain services 😉

With filter reversed I now see 6773 connections to port 445.

I can now investigate which servers listed in Destination IP graph should have SMB service running and disable it where it is not needed.

That’s it folks! If you wish to know more how to leverage LOGmanager dashboards to run analysis/investigation check our user forum and youtube channel where we share a lot of content.

LOGmanager – Forum

LOGmanager – YouTube


Deprecated: Funkce Šablona neobsahuje souboru sidebar.php není podporována už od verze 3.0.0 a v aktuální verzi WordPressu není dostupné ani žádné náhradní řešení. Používejte soubor sidebar.php ve vaší šabloně. in /mnt/data/html/logmanager.cz/www/wp-includes/functions.php on line 5411
logo
© 2022 Sirwisa a. s. Všechna práva vyhrazena.