Windows Ağ Dosya Sistemi güvenlik açığının anatomisi • Kayıt


Trend Micro Research, Ağ Dosya Sisteminde gizlenen bir Windows uzaktan kod yürütme güvenlik açığının anatomisini yayınladı.

Söz konusu güvenlik açığı, CVE-2022-30136, Microsoft tarafından yamalandı Haziranda (yamalarınızı güncel tutuyorsunuz, değil mi?) ancak araştırma, hem güvenlik açığının kendisi hem de istismar potansiyeli açısından ilginç bir okuma sağlıyor.

Güvenlik açığı, Windows Ağ Dosyalama Sistemi’nde (NFS) bulunuyordu ve NFSv4 isteklerinin yanlış işlenmesinden kaynaklanıyordu. Bir hedef sunucuya kötü niyetli RPC çağrıları göndererek istismar edilebilir. Başarılı bir istismar, SİSTEM olarak rastgele kod yürütülmesine neden olabilirken, başarısız istismar yalnızca hedefi çökertebilir.

NFS’nin kökleri, Sun Microsystems’in 1984’teki çalışmasına kadar uzanır ve güvenlik açığı Windows uygulamasında mevcuttu. NFS, kontrol mesajlarını değiş tokuş etmek için Açık Ağ Bilgi İşlem (ONC) Uzaktan Yordam Çağrısı (RPC) kullanır. Windows güvenlik açığı “yanıt mesajlarının boyutunun yanlış hesaplanmasından” kaynaklandı. göre araştırmacılar.

“Sunucu işlevi çağırır Nfs4SvrXdrpGetEncodeOperationResultByteCount() her işlem kodu yanıtının boyutunu hesaplamak için, ancak işlem kodunun kendisinin boyutunu içermez.”

Sonuç, çok küçük bir yanıt arabelleğidir ve bir taşma ile sonuçlanabilir.

Trend Micro, “Yalnızca NFS sürüm 4 için kullanılan işlev nedeniyle, yalnızca NFS4 savunmasızdır” dedi.

Kurnaz saldırganlar, büyük boyutlu bir yanlış hesaplama oluşturmaya yetecek kadar işlem içeren bir isteği başlatmak için bu güvenlik açığını kullanabilir. Rastgele kodun yürütülmesi, sonuç veya sistemin basit bir çökmesi olabilir.

Haziran’ın Salı Yaması, güvenlik açıklarının diğer poster çocuğu Follina ile ilgiliydi, ancak CVE-2022-30136’dan yararlanmak nispeten basit görünüyor, kesinlikle bir sunucunun uzaktan çökebileceği noktaya kadar.

CVE-2022-30136 şimdi yamalandı (başka bir NFS RCE için düzeltmeyi yüklemeniz gerekse de, CVE-2022-26937, ilk). Microsoft, güvenlik açığının NFSv2 veya v3’te bulunmadığını ve NFSv4.1’in devre dışı bırakılmasıyla bir saldırının azaltılabileceğini belirtti.

Ancak Trend Micro Araştırma Ekibi’nin yorumladığı gibi, bunu yapmak “işlevsellik kaybına yol açabilir”.

“Her iki güncellemeyi de uygun sırayla uygulamak, bu güvenlik açıklarını tam olarak ele almanın en iyi yöntemidir.”

Microsoft’un yamalarının bazı şeyleri bozabileceğine dair bir hatırlatma, bunları uygulamamanın güvenlik açısından sonuçları acı verici olabilir. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/07/15/windows_nfs_patch/

Yorum yapın