RPC: cos'è e perché le vulnerabilità come CVE-2022-26809 fanno paura

Martedì scorso Microsoft ha rilasciato alcuni aggiornamenti di sicurezza per Windows che stanno destando non poche preoccupazioni. O meglio, sono le problematiche di sicurezza che le patch correggono a causare non poco turbamento tra amministratori IT ed esperti.

Nei giorni scorsi abbiamo parlato della falla CVE-2022-26809 definendola wormable: si tratta infatti di un bug di sicurezza scoperto in tutte le versioni di Windows che può essere sfruttato per eseguire codice dannoso attraverso la rete senza alcuna interazione da parte della vittima.
Per questo motivo la falla è definita wormable: come un worm, particolare categoria di malware in grado di autoreplicarsi, una volta aggredito un sistema i criminali informatici possono fare in modo che il codice dannoso venga caricato automaticamente su altre macchine a loro volta vulnerabili. In questo modo l’infezione può diffondersi rapidamente all’interno dell’infrastruttura di rete di un’azienda o sull’intera rete Internet.

A conferma della gravità del problema basti pensare che i tecnici di Microsoft hanno rilasciato le patch correttive anche per i sistemi operativi non più supportati come Windows 7, Windows Server 2008 e Windows Server 2008 R2. L’obiettivo è quello di non lasciare senza protezione neppure i sistemi più vecchi che, installando le patch, non potranno essere utilizzati per aggredire altre macchine.
Date un’occhiata al bollettino ufficiale Microsoft che abbiamo presentato nell’introduzione: facendo riferimento alla colonna Article e incollando l’identificativo nella casella di ricerca del Microsoft Update Catalog si possono scaricare manualmente le patch correttive.

Cos’è RPC: perché è importante ma allo stesso tempo così delicato

Con la sigla RPC in informatica si fa riferimento all’attivazione da parte di un programma di una procedura su un dispositivo diverso da quello sul quale il programma stesso viene eseguito: è infatti acronimo di Remote Procedure Call.
È una buona cosa perché un programma, scritto in un qualunque linguaggio, può interagire senza problemi con una funzione offerta da un sistema completamente differente.

Nei vari sistemi operativi ci sono servizi che fanno ampio uso dello schema RPC: sulle piattaforme Unix-like si usa tipicamente SUN RPC (RFC 1057) mentre in Windows l’implementazione Microsoft MSRPC.
Ad esempio il protocollo SMB, utilizzato per la condivisione di file, stampanti e altre risorse, utilizza le porte TCP 445 e 139; tanti componenti usano la porta TCP 135 per le comunicazioni client-server.

I componenti che gestiscono le Remote Procedure Call sono però a elevata criticità in quanto, come nel caso di Windows, sono legati a doppio filo con la struttura di base del sistema operativo. Le porte utilizzate per le comunicazioni RPC non dovrebbero quindi mai essere esposte quando ciò non fosse strettamente necessario e soprattutto mai al di fuori del perimetro di rete aziendale.

La vulnerabilità CVE-2022-26809 in RPC: di cosa si tratta

Gli esperti di CyberKunLun, realtà cinese affiliata con Team Pangu, da sempre distintosi per le notevoli scoperte in ambito informatico, ha segnalato a Microsoft varie vulnerabilità nella gestione delle chiamate RPC in Windows. Una di esse, contraddistinta appunto con l’identificativo CVE-2022-26809, può determinare una condizione di buffer overflow e portare all’esecuzione di codice arbitrario.

Al momento né CyberKunLun né altri team di ricercatori hanno pubblicato il codice exploit utilizzabile per sfruttare il problema di sicurezza in questione. È una buona cosa, questa, che dà il tempo materiale a tutti gli interessati di applicare per tempo le patch rilasciate da Microsoft.

Bloccare le porte TCP 445, 139 e 135 a livello di firewall è certamente la cosa migliore da fare: sull’IP pubblico e in generale sulla WAN non devono mai essere esposte porte non necessarie per l’accesso a servizi che devono essere erogati all’infuori della struttura aziendale.
Ad esempio, se un server web deve essere raggiungibile dall’esterno non è possibile applicare blocchi a livello di porte di comunicazione ma è indispensabile aggiornare il server web stesso se assicurarsi che le applicazioni Web erogate non soffrano di problemi di sicurezza. A tale proposito l’uso di un Web Application Firewall come quello che Cloudflare offre gratis può certamente risultare d’aiuto.

Tutto il resto, tutti gli altri servizi che non devono risultare accessibili sull’IP pubblico, devono restare chiusi all’interno del perimetro di rete aziendale. In questo modo porte sulle quali sono in ascolto servizi che devono funzionare solo in LAN non saranno esposti su Internet.

Nel caso delle falle RPC venute a galla in questi giorni c’è un problema di fondo: se un malware dovesse essere eseguito su un sistema connesso in rete locale esso potrebbe effettuare una scansione dei sistemi collegati in LAN e sfruttare le vulnerabilità RPC per diffondersi velocemente ed eseguire codice arbitrario. Per questo, al fine di evitare eventuali “movimenti laterali” da parte di codice malevolo, gli esperti caldeggiano la tempestiva installazione delle patch ufficiali Microsoft di aprile 2022. Anche quando non si esponesse alcuna porta sulla WAN o l’accesso alla rete dell’impresa fosse possibile soltanto tramite VPN.

Purtroppo nel caso di un problema come quello descritto (CVE-2022-26809) non ci sono particolari workaround da applicare: non è possibile disattivare RPC in Windows perché il sistema operativo di fatto non funzionerebbe più. E non solo per ciò che concerne le comunicazioni di rete: basti pensare, come sottolinea Microsoft, che disattivando RPC non si possono più spostare neppure le icone sul desktop di Windows.
Giusto per dare l’idea di come questo schema di comunicazioni sia legato a basso livello con il funzionamento del sistema operativo Microsoft.

Fortunatamente al momento non si conoscono codici exploit funzionanti quindi un po’ di tempo per aggiornare i sistemi e applicare le patch c’è. Facile ipotizzare, però, che già dalla prossima settimana cominciano a fare capolino modalità di attacco funzionanti.
Secondo Antonio Cocomazzi, ricercatore italiano di Sentinel LABS, la falla CVE-2022-26809 potrebbe alla fine non essere così semplice da sfruttare, almeno stando all’esito dei primi test perché un eventuale exploit presupporrebbe l’utilizzo di configurazioni specifiche di RPC.

Tanti esperti sottolineano comunque che è solo questione di tempo perché la vulnerabilità cominci a essere sfruttata, probabilmente prima con attacchi mirati e poi con aggressioni più su vasta scala.