CVE-2022-26809: SMB 445 Lücke

Mit Microsoft Updates zum Patchday am 12. April enthalten ein Update, welches nicht nur Microsoft mit einem CVE 9.8 einstuft. Es betrifft eine Lücke in allen aktuellen Windows Betriebssystemen und sollte umgehen geschlossen werden. Mit dem Update haben nun auch die Angreifer den Code und werden sicher alles daran setzen, einen Exploit-Code zu entwickeln.

Es gibt mit https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521 noch eine Lücke, die bereits ausgenutzt wird und Benutzer auf einem PC sich höhere Rechte verschaffen können. Ein Grund mehr für schnelle Updates.

Vektor: Port 445 SMB

Aus der Microsoft Veröffentlichung zum CVE-2022-26809 ist einfach zu erkennen, dass es wohl wieder eine "Basis-Funktion" von Windows betrifft.

Quelle: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809

Ich gehe mal davon aus, dass die wenigsten Windows Server oder Clients "aus dem Internet" über den Port 445 erreichbar sind. Aber die Realität sieht oft anders aus, gerade wenn Dateiserver z.B. in Azure oder einer anderen Cloud stehen.

Das macht das Risiko aber nicht geringer, denn im Firmennetzwerk selbst kenne ich nur ganz wenige Firmen, die interne Firewalls nutzen, um zwischen Clients und Servern verschiedene Dienste zu reglementieren. Aber auch das hilft nicht wirklich, den in einem Windows Netzwerk müssen die Clients sich zumindest am Domain Controller anmelden und per SMB Port 445 eine Verbindung zu NETLOGON und SYSLOG aufbauen. Ansonsten kommen Sie ja z. B. nicht an Anmeldeskripte und Gruppenrichtlinien. Auch Dateiserver sind im Grunde von jedem Client per SMB erreichbar.

Es reicht also, wenn ein Angreifer irgendwie Code auf einem System in ihrem Netzwerk ausführen kann. Da kann ein Anwender eine Anlage an einer Phishing-Mail ausführen oder seine Credentials verraten, so dass ein Angreifer per RDP oder VPN eine Verbindung zum Netzwerk aufbauen kann.

Ich habe noch keine Hinweise, ob diese fehlerhafte Implementierung es auch in andere SMB-Derivate (QNap, Synology, Samba etc.) geschafft haben. Microsoft hat SMB erst vor einiger Zeit "offener" dokumentiert und zwar lange Zeit "Closed Source", so dass ein Abschreiben vom Code weniger wahrscheinlich ist.

Der "Melder" der Lücke war laut Microsoft jemand mit dem Twitter Alias @cyberkunlun (https://twitter.com/cyberkunlun), über den es dort aber nichts zu lesen gibt.

• CVE-2022-26809 - Remote Procedure Call Runtime Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809

Gegenmaßnahmen

Solange kein Update zur Verfügung gestanden hat, war die Vorgabe den Zugriff auf Port 445 zu beschränken.

• Secure SMB Traffic in Windows Server
  https://docs.microsoft.com/en-us/windows-server/storage/file-server/smb-secure-traffic

Das kann eine Firewall tun oder sie sichern die interne Verbindung zwischen den Systemen z.B. per IPSec o.ä. Das hilft aber nicht, wenn sie die Funktionen benötigen, die über Port 445 bereitgestellt werden, z.B. Domain Controller. Auch wirkt die Beschränkung auf Firmencomputer nicht, wenn der Angreifer ihren Terminal-Server oder einen gekaperten Client eines Mitarbeiters nutzt.

Es könnte temporär interessant sein, z.B. den Zugriff auf Server wie Exchange über Port 445 zu unterbinden die von Anwendern ehr nur per HTTP (OWA, EAS, MAPI) oder POP/IMAP (110/143/995/993) angesprochen werden. Auch SQL-Server könnte man von den "gefährlichen Clients" über 445 unerreichbar machen und nur 1434 o.ä. zuzulassen. Allerdings hilft das nur bedingt, denn es gibt sicher genug andere Server, die angreifbar sind und dann als Sprung-Server zu weiteren Servern dienen können.

Mittlerweile gibt es für alle noch von Microsoft aktiv unterstützten Betriebssysteme die entsprechenden Updates, die auch über Windows Update verteilt werden.

Sie sollten umgehend daran gehen, die Updates einzuspielen.

• April 12, 2022—KB5012596 (OS Build 14393.5066)
  https://support.microsoft.com/en-us/topic/april-12-2022-kb5012596-os-build-14393-5066-f77f480c-5dea-4e85-88b8-1e70b1b5fcd2
• April 12, 2022—KB5012592 (OS Build 22000.613)
  https://support.microsoft.com/en-us/topic/april-12-2022-kb5012592-os-build-22000-613-41d0d345-0b27-4388-9681-3ed7e8e76d6d
• April 12, 2022—KB5012599 (OS Builds 19042.1645, 19043.1645, and 19044.1645)
  https://support.microsoft.com/en-us/topic/april-12-2022-kb5012599-os-builds-19042-1645-19043-1645-and-19044-1645-548cc67c-7f12-46fd-878e-589ba81ac2f5
• April 12, 2022—KB5012591 (OS Build 18363.2212)
  https://support.microsoft.com/en-us/topic/april-12-2022-kb5012591-os-build-18363-2212-bdef80dc-6550-4e63-8f10-a34787d898e7
• April 12, 2022—KB5012647 (OS Build 17763.2803)
  https://support.microsoft.com/en-us/topic/april-12-2022-kb5012647-os-build-17763-2803-9a10c5c9-e65f-4ae1-a9c4-2db9a8eca4fc
• April 12, 2022—KB5012653 (OS Build 10240.19265) Windows 10
  https://support.microsoft.com/en-us/topic/april-12-2022-kb5012653-os-build-10240-19265-935b794b-840b-47b6-b905-3b41f1990de8
• KB5012626 April 12, 2022—KB5012626 (Monthly Rollup)
  https://support.microsoft.com/en-us/topic/april-12-2022-kb5012626-monthly-rollup-92ddc62b-e5bf-4f21-a3de-2e8a72b56e2c
• Insgesamt finden sich 47 Links zu den verschiedenen OS Versionen und Build-Nummern auf https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809

Reihenfolge

Für jede Windows Version und Build-Nummer gibt es eventuell ein eigenes Update-Paket. Die manuelle Ermittlung und Zuordnung macht nur fr große Firmen sinn. Alle anderen sollten entweder direkt über Windows Update die Fehlerkorrekturen direkt von Microsoft laden oder diese per WSUS intern freigeben und verteilen. Eventuell haben Sie Unterstützung durch Programme wie Batchpatch u.a.

Im Prinzip sollten alle Windows Systeme, d.h. Server und Clients umgehend aktualisiert werden. Wenn Sie aber eine Reihenfolge suchen, dann würde ich wie folgt vorgehen:

• Domain Controller
  Diese Server sind besonders kritisch und eigentlich von allen Systemen per SMB über Port 445 erreichbar. Wenn sie mehrere Server haben, dann ist es meist unkritisch, nacheinander die Updates mit direkten Neustart zu installieren. Das kann auch im laufenden Betrieb funktionieren, wenn ihre Anwendungen alle DCs nutzen und nicht auf einen DC festgelegt sind.
• Admin PCs, ADSync, ADFS, Provisioning-Systeme, JobServer
  Dann interessieren mich die Systeme, auf denen direkt mit privilegierten Accounts gearbeitet wird, die für einen Angreifer besonders interessant sind. Das sind die Tier-1 AdminWorkstations aber auch ADFS-Server, die Tickets ausstellen oder ADSync-Server, deren Dienstkonten z.B. die Rechte zum "Password Writeback" haben oder Zugangsdaten in die Cloud replizieren.
• Exchange Server
  Ich führe die Exchange Server gesondert auf, da Sie durch RBAC - Role Based Access Control als "Computerkonto" deutlich mehr Berechtigungen haben. Durch RBAC müssen die täglich genutzten Admin-Konten deutlich weniger Berechtigungen habe aber dafür können die Exchange Server viele Dinge im lokalen AD ändern, z.B. Benutzer anlegen und Gruppenmitgliedschaften ändern.
• Member Server
  Dann kommen die anderen Server, die auch 24h für potentielle Angreifer erreichbar sind. Hier könnten die Daten oder das "Störpotential" für einen Angreifer lohnenswert sein. Solche Server eignen sich als Sprungserver für weitere Aktionen oder eine Malware wartet einfach darauf, dass sich ein Administrator lokal anmelden, um dann dessen Token oder eingegeben Daten abzugreifen.
• Workstations
  Ich denke gerade an all die Home-Office"-PCs, die Domainmitglied und VPN-Client sind. Ohne VPN sind diese im "Heimnetzwerk" und natürlich kann dann ohne VPN und Firewall ein anderer "unverwalteter" PC über diese Lücke, (Windows for Workgroups lässt grüßen) den Firmen-PC als Sprungserver nutzen. Auch in der Firma ist aber jeder PC mit Netzwerkverbindung ein potentielles Risiko, selbst wenn er nicht Mitglied der Domain ist. Es reicht eine TCP-Verbindung zu einem nicht gesicherten System über Port 445/TCP

Machen wir es kurz: Verantwortungsbewusste Administratoren sollten Karfreitag dazu nutzen, ihre Systeme möglichst schnell zu aktualisieren

Und vielleicht darauf zu hoffen, dass die bösen Jungs noch keinen funktionierenden Code durch Reverse-Engineering entwickelt haben. Am 14.4.2022 17:00 lautete es noch:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809

Das kann sich aber jederzeit ändern. Nur weil ihr Windows System nicht per 445/TCP aus dem Internet erreichbar ist, gibt es genug Wege von intern einen Angriff zu erleben. Die Lücke ist bei einem gut konfigurieren Netzwerk zwar nicht aus dem Internet erreichbar und kommt damit nicht an den Hafnium Exploit oder die Log4Shell-Lücke heran, aber ist gefährlich nahe.

Weitere Links

• Hafnium Exploit
• Hafnium Nachbereitung
• RBAC - Role Based Access Control
• CVE-2020-1350 DNS-Lücke
• Log4Shell
• CVE-2022-26809 - Remote Procedure Call Runtime Remote Code Execution Vulnerability  CVSS:3.1 9.8 / 8.5
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
• CVE-2022-24521 - Windows Common Log File System Driver Elevation of Privilege Vulnerability  CVSS:3.1 7.8 / 7.2
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
  Lokale Ausnutzung
• Secure SMB Traffic in Windows Server
  https://docs.microsoft.com/en-us/windows-server/storage/file-server/smb-secure-traffic
• CVE-2022-26809 Reaching Vulnerable Point starting from 0 Knowledge on RPC 
  https://s1ckb017.github.io/2022/06/17/CVE-2022-26809-Server-Side-vulnerable-point-reachability.html
  https://github.com/s1ckb017/PoC-CVE-2022-26809