Сетевая файловая система Windows содержит RCE-уязвимость из-за неправильного алгоритма
Компания Trend Micro Research опубликовала анализ недавно исправленной RCE-уязвимости Windows CVE-2022-30136, которая влияет на сетевую файловую систему ( Network File System, NFS ) из-за неправильной обработки запросов NFSv4.
Удаленный злоумышленник может воспользоваться этой ошибкой, отправив вредоносные RPC-вызовы на целевой сервер для выполнения произвольного кода в контексте SYSTEM. Эксперты указали, что неудачная эксплуатация этой проблемы может привести к сбою затронутой системы.
« CVE-2022-30136 — уязвимость сетевой файловой системы Windows, связанная с удаленным выполнением кода. Эта ошибка CVSS 9.8 очень похожа на CVE-2022-26937
— ошибку NFS, исправленную в мае. Эта уязвимость может позволить удаленному злоумышленнику выполнить привилегированный код на уязвимых системах с NFS», — указано в блоге компании.
«На первый взгляд, единственная разница между исправлениями заключается в том, что обновление июля исправляет ошибку в NFSV4.1, а ошибка в мае затронула только версии NSFV2.0 и NSFV3.0.
Неясно, является ли это вариантом, неудачным обновлением или совершенно новой проблемой. Несмотря на это, предприятия, использующие NFS, должны уделять первоочередное внимание тестированию и развертыванию этого исправления», — добавили эксперты.
«В реализации NFS для Windows существует уязвимость переполнения буфера. Она связана с некорректным расчетом размера ответных сообщений. Сервер вызывает функцию Nfs4SvrXdrpGetEncodeOperationResultByteCount() для расчета размера каждого ответа кода операции, но она не включает размер самого кода операции. Это приводит к тому, что размер буфера ответа слишком мал для запроса OP Count (*). Соответствующий буфер выделяется с помощью OncRpcBufMgrpAllocate. Когда данные ответа записываются в буфер, он переполняется», — говорится в сообщении Trend Micro. Эксперты указали, что уязвима только NFS версии 4, поскольку она использует функцию OncRpcBufMgrpAllocate.
«CVE-2022-30136 была исправлена Microsoft в июне 2022 года. В своем отчете Microsoft также порекомендовала отключить NFSv4.1 для смягчения атак. Однако, это может привести к потере функциональности. Microsoft отмечает, что обновление для устранения этой ошибки не следует применять, если не установлено исправление для CVE-2022-26937. Применение двух обновлений в соответствующем порядке — лучший способ полностью устранить эти уязвимости» — заключили эксперты.