Microsoft の RPC 脆弱性 CVE-2022-26809 は危険:PoC エクスプロイトの前にパッチを!

Critical Microsoft RPC runtime bug: No PoC exploit yet, but patch ASAP! (CVE-2022-26809)

2022/04/15 HelpNetSecurity — Microsoft の最新 Patch Tuesday から3日が経過し、最も悪用される可能性が高い脆弱性として、CVE-2022-26809 が浮上してきた。その理由は明白で、未認証のリモート攻撃者によるシステムへの侵入や、その後の、同じネットワーク上の他システムへの侵入に悪用される可能性があるためである。また、脆弱なシステム上のユーザーが何もしなくても (ゼロクリック)、悪用される可能性もある。

CVE-2022-26809 について

この脆弱性 CVE-2022-26809 は、Microsoft Remote Procedure Call (RPC) ランタイムにおけるリモートコード実行の欠陥であり、Windows/Windows Server の各バージョンに影響を及ぼす。

Microsoft は、「この脆弱性を利用する攻撃者は、特別に細工した RPC コールを RPC ホストに送信する必要がある。その結果、RPC サービスと同じ権限を持つサーバー側で、リモートコードが実行される可能性がある」と述べている。また、管理者に対して、以下のアドバイスを提供している。

  • 企業の境界ファイアウォールで TCP ポート 445 をブロックする(ただし、それにより境界内からの攻撃からは保護されないことに注意)。
  • SMB トラフィックを保護するために Microsoft のガイドラインに従う。

この、SMB に関する言及は、Microsoft Windows SMB Server の脆弱性を悪用した EternalBlue による、世界的な WannaCry 攻撃の記憶を呼び起こし、セキュリティ保護者を不安がらせたと思われる。

セキュリティ・コミュニティから、PoC エクスプロイトが間もなく公開されるため、企業の防御者にとって状況が悪くなることが懸念される。ネット上で話題になっているが、まだ PoC エクスプロイトは存在せず、秘密裏に悪用されている証拠もない。

緩和と検出

その一方で、情報セキュリティの専門家たちは、初期リスクを軽減する Microsoft からのアドバイスを、独自に補強している。


SANS Technology Institute の Dean of Research である Dr. Johannes Ullrich は、脆弱性 CVE-2022-26809 がもたらす危険性についてまとめた記事を発表し、パッチ適用が、この脆弱性も対する唯一の修正策であると述べている。

彼は、「不思議に思うかもしれないが、Windows の RPC を OFF にすることはできない。それにより、何かが破壊されることになる。RPC は SMB より多くのことをする。たとえば、RPC を無効にすると、デスクトップ上のアイコンを移動できなくなる。いつになったら、エクスプロイトが登場するのか見当もつかないが、来週までは持ってほしい 」と説明し、悪用の検知が難しい可能性があると指摘している。

4月の Patch Tuesday で、CVE-2022-26809 の CVSS 値は 7.5 とされていましたが、ゼロクリックというハードルの低い悪用が分かったということなのでしょう。また、PoC エクスプロイトが間もなく公開されそうとも書かれているので、そのあたりも気になります。ご注意ください。

%d bloggers like this: