Microsoft verwijdert poort 445-advies voor kritieke Windows-kwetsbaarheid

[Captain Kirk]

Microsoft kwam op 12 april met een beveiligingsupdate voor een kritieke kwetsbaarheid in Windows en een mitigatie-advies dat organisaties zou moeten beschermen, maar dit advies is niet volledig en nu verwijderd. Via het beveiligingslek in de Remote Procedure Call (RPC) runtime library kan een aanvaller zonder enige interactie van gebruikers controle over systemen krijgen. De kwetsbaarheid is in theorie te misbruiken door een computerworm.

De impact van de kwetsbaarheid, aangeduid als CVE-2022-26809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Naast het installeren van de update adviseerde Microsoft als mitigatie om tcp-poort 445 op de perimeter-firewall te blokkeren, aangezien deze poort wordt gebruikt om verbinding met het kwetsbare Windows-onderdeel te maken. Door poort 445 te blokkeren worden systemen achter de firewall beschermd. Iets wat volgens Microsoft de beste bescherming is tegen aanvallen vanaf het internet.

In een update van het beveiligingsbulletin laat Microsoft weten dat de aangeraden mitigatie niet tegen alle potentiële aanvalsscenario's bescherming biedt. Het mitigatie-advies "Block TCP port 445 at the enterprise perimeter firewall" is dan ook verwijderd. Volgens Microsoft gebruikte de onderzoeker die de kwetsbaarheid rapporteerde SMB als aanvalsvector om het lek in de RPC-service te misbruiken. Het advies om poort 445 te blokkeren zou in dit geval effectief zijn.

"Hoewel het blokkeren van poorten 139 en 445 (SMB) op de perimeter-firewall een aanbevolen practice is, beschermt het niet tegen alle aanvalsscenario's voor deze specifieke kwetsbaarheid", laat Microsoft weten. Het techbedrijf is op dit moment niet bekend met andere specifieke aanvalsvectoren voor deze kwetsbaarheid. Verder stelt Microsoft dat het blokkeren van tcp-poort 135 op de firewall een aanbevolen practice is die ook de kans verkleint op potentiële andere aanvallen die van het genoemde Windows-lek misbruik maken.

 

bron: https://www.security.nl