Pesquisadores de segurança da Trend Micro divulgaram uma análise de uma vulnerabilidade de execução de código no Windows CVE-2022-30136, que afeta o Network File System (NFS).
De acordo com os pesquisadores, a vulnerabilidade CVE-2022-30136 do Windows recentemente corrigida foi causada pelo manuseio incorreto de solicitações NFSV4.
A vulnerabilidade pode permitir que um hacker envie uma chamada RPC maliciosa ao servidor de destino para executar código arbitrário no contexto do sistema. Especialistas apontaram que, mesmo que o processo de hacking não seja feito corretamente, o sistema pode travar.
A ZDI explicou: “Vulnerabilidades como CVE-2022-30136 e CVE-2022-26937 podem permitir que um invasor remoto execute código privilegiado em um sistema executando NFS”.
“A atualização deste mês corrigiu o bug no NFSV4.1, enquanto o bug do mês passado afetou apenas as versões NSFV2.0 e NSFV3.0. Não está claro se isso é uma variante, um patch com falha ou um problema completamente novo. prioridade para testar e implantar essa correção.”
O protocolo NFS foi desenvolvido pela Sun Microsystems em 1984 e permite que os usuários acessem arquivos remotos da mesma forma que acessam sistemas de arquivos locais.
O protocolo NFS Open Network Computing (ONC) usa chamada de procedimento remoto (RPC) para trocar mensagens de controle. Quando uma mensagem ONC RPC é enviada sobre TCP, a estrutura do cabeçalho do fragmento que determina o comprimento da mensagem é pré-anexada. O receptor usa essas informações para distinguir entre várias mensagens enviadas em uma única sessão TCP.
Um pesquisador da Trend Micro disse: “Existem várias vulnerabilidades de estouro de buffer no aplicativo Windows NFS. A vulnerabilidade é causada por um cálculo incorreto do tamanho da mensagem de resposta. O servidor chama a função Nfs4SvrXdrpGetEncodeOperationResultByteCount() para calcular o tamanho de cada resposta de opcode, mas não inclui o tamanho do próprio opcode. Como resultado, o tamanho do buffer de resposta se torna muito pequeno com o número de 4 bytes do OP. O buffer correspondente é então alocado com OncRpcBufMgrpAllocate. Quando os dados de resposta são gravados no buffer, os dados de resposta estão transbordando.”
Enquanto isso, especialistas em segurança apontaram que a vulnerabilidade ocorre porque apenas o NFSV4 usa a função OncRpcBufMgrpAllocate.
Especialistas em segurança disseram: “Esta vulnerabilidade foi corrigida pela Microsoft em junho de 2022 e CVE-2022-30136 personalizado. Para reduzir os danos, o NFSv4.1 deve ser desabilitado. No entanto, isso pode resultar na perda de algumas funcionalidades”. Patch para resolver este bug, a menos que o CVE-2022-26937 seja corrigido. Dois patches devem ser aplicados na ordem correta para resolver totalmente a vulnerabilidade. “
*Este artigo foi escrito em parceria oficial com Pierluigi Paganini, especialista em segurança da European Network Information Security Agency (ENISA) e fundador do blog global de segurança da informação Security Affairs.
Copyright © CCTV News A reprodução e redistribuição não autorizadas são proibidas
“Pensador. Aspirante a amante do Twitter. Empreendedor. Fã de comida. Comunicador total. Especialista em café. Evangelista da web. Fanático por viagens. Jogador.”