CVE-2022-26809:Windows 远程代码执行漏洞,约72万台服务器端口暴露外网

最新推荐文章于 2025-08-25 22:01:32 发布
原创 最新推荐文章于 2025-08-25 22:01:32 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #安全架构 #web安全

本文揭示了Windows系统中的一个严重漏洞,无需认证可通过RPC请求执行远程代码。文章详细解释了漏洞影响范围、原理、安全修复措施,并提醒读者及时更新补丁和封闭445端口以防止攻击。

微软上周修复了一个Windows RPC CVE-2022-26809 漏洞,并将其评为「严重」级别,无需身份认证和用户交互,仅通过向受影响的目标服务器发送特制的RPC请求,即可触发并达到远程代码执行的目的。

受影响范围

从上表中可以看出来,此漏洞利用无需要交互。基本上暴露了445端口且运行了Windows RPC未安装补丁的Windows 服务器都容易受到攻击。据Shodan统计称,网上暴露445端口的服务器超过70万台,如图所示:

漏洞详情:

漏洞位于 Windows RPC服务的 rpcrt4.dll 库中。通过比较10.0.22000.434(未打补丁)和 10.0.22000.613(打补丁,从 4 月开始),并生成了以下各种功能的更改列表:

 

函数 OSF_CCALL::ProcessResponse 和 OSF_SCALL::ProcessReceivedPDU 两个功能本质上是相似的;两者都处理 RPC 数据包,但一个在客户端运行,另一个在服务器端运行(CCALL 和 SCALL 分别代表客户端调用和服务器调用)。比较 OSF_SCALL::ProcessReceivedPDU 函数添加了两个代码块。

在QUEUE::PutOnQueue 之后调用了一个新函数。此函数新加了检查整数溢出。即,添加了新函数以验证整数变量是否保持在预期值范围内。

 在其它函数中也添加了类似的整数溢出调用:

  • OSF_CCALL::ProcessResponse

  • OSF_SCALL::GetCoalescedBuffer

  • OSF_CCALL::GetCoalescedBuffer

安全修复:

1、通过Windows系统自动更新补丁,并在“Windows更新”->“查看更新历史记录”中确认更新是否成功安装;

2、关闭暴露在外的445端口,以防被蠕虫攻击。

内网服务暴露外网,实现内网穿透(外网访问内网服务器),自动化配置和部署方案之frp,附实现源码,相关资源放到 GitHub 上免费下载
代码讲故事
08-30 774
内网服务暴露外网,实现内网穿透(外网访问内网服务器),自动化配置和部署方案之frp。 支持特性: 自动生成配置文件和安装脚本; 支持指定端口端口范围进行暴露; 支持定义高危端口暴露时自动屏蔽; 支持容器自动化部署; 支持重启自动连接; 端口同时支持tcp/udp协议; 支持内网服务暴露外网访问; 支持自动token匹配鉴权; 支持端口流量转发; …… 项目背景: 在项目实际搭建中,公司有一台公网服务器,即有一个公网IP,如果有一个域名,绑定到这个公网IP,那么可以有很多个二级域名,来绑定到公网I
数据库之Redis运维手册(私人整理)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
11-20 7999
1、redis配置文件 #cat 8000.conf daemonize no #[yes/no]默认值no,该参数用于定制redis服务是否以守护模式运行。 pidfile /var/run/redis.pid #默认值/var/run/redis.pid,指定redis服务的进程号文件路径,以守护模式运行时需要配置本参数; port 8000 #默认值6379,指定redis服务...
Windows 远程桌面授权服务远程代码执行漏洞CVE-2024-38077)
heike_Ch的博客
08-21 2425
开启该服务(Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
Microsoft Remote Procedure Call Runtime 远程代码执行漏洞CVE-2022-26809
LiBai'S BLOG
05-12 7046
CVE-2022-26809 RCE CVE 描述 CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因,因为攻击不需要身份验证并且可以通过网络远程执行,并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限,这取决于托管 RPC 运行时的进程。运气好的话,这个严重的错误允许访问运行 SMB 的未打补丁的 Windows 主机。该漏洞既可以从网络外部被利用以破坏它,也可以在网络中的机器之间被利用。 https://msrc
<漏洞预警>Windows Search远程代码执行漏洞和LNK文件远程代码执行漏洞
blackorbird的博客
06-14 855
有传言称今天这波windows补丁是补了影子经纪人要爆的漏洞今天爆出两个远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞(可用s...
Web服务器外网能裸奔多久?
lang_niu的专栏
05-30 3465
很多时候我们轻易地把Web服务器暴露在公网上,查看一下访问日志,可以看到会收到大量的攻击请求,这个是网站开通后几个小时收到的请求: 1.  探测服务器信息 在上线一分钟,收到OPTION请求探测。 现在他已经知道我用的是Apache, 操作系统是CentOS,可以开展针对性的进攻了。 Tips:您问怎么把Apache信息藏起来?有书啊 2. 命令执行攻击 上线半小时,收到大量利用W
Graph Mining for Cybersecurity: A Survey——网络安全图挖掘:一项调查——全文翻译
qq_46063079的博客
06-03 1733
Graph Mining for Cybersecurity: A Survey网络安全图形挖掘:一项调查
【嵌入式Docker化实战指南】:揭秘9大核心场景与落地解决方案
!...# 1. 嵌入式系统与Docker融合的演进之路 随着边缘计算和物联网设备的爆发式增长,传统嵌入式软件开发模式面临维护复杂、部署僵化等挑战。Docker容器技术以其环境隔离、镜像一致性与可复用性优势,逐步渗透至资源...
内网穿透 --- 将本地服务暴露外网(操作需3分钟)
热门推荐
晓强的技术博客
09-15 1万+
本地服务暴露外网 因为开发的原因,总是需要临时将自己的服务暴露外网。这个时候,在众多工具当中,发现一个小巧的 ngrok,点击这里 ➡️https://ngrok.com/download 先下载一个吧。 安装 因为我是苹果电脑,所以我选择了 Download for MacBook OSX 的版本,于是下载好的文件: $ ls ngrok* ngrok-stable-darwin-amd64...
使用ngrok暴露端口外网,并且提供域名访问应用
riverJiant的博客
04-25 9347
Ngrok 是什么 ngrok 是一个反向代理,通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道。ngrok 可捕获和分析所有通道上的流量,便于后期分析和重放。 网络架构如下图所示: 介绍和图片来自: http://www.oschina.net/p/ngrok 可以用来干什么 其中应用场景最多的是内网穿透, 把局域网内的一些服务暴露到公网. 例如支付
警惕 CVE-2022-26809后门
weixin_48421613的博客
05-19 2328
今天突然之间就有好多小伙伴研究起了一个一个月前的CVE漏洞----CVE-2022-26809|远程代码执行漏洞; 文章地址: https://www.ddosi.org/cve-2022-26809-exp/ exp地址: https://github.com/rkxxz/CVE-2022-26809 而后无数的群友一起去尝试,但是无一成功 本人也在虚拟机里面运行了一下,分别生成了x64以及x86的shellcode.bin文件 虚拟机运行所谓的exp 显示成功了,然是实际上并没有上线,而后继续
内网穿透、将本地服务暴露外网、三分钟搞定!!!
weixin_45647685的博客
12-03 8042
官网地址钉钉内网穿透地址 ###第一步:工具下载 首先我们根据官方文档从github上下载工具 git命令 :git clone https://github.com/open-dingtalk/pierced.git ###第二步:项目启动并映射到外网 我们先启动本地某个项目 这里以springboot项目为例 启动后本地端口为8080 那么启动后 如何让外网也能访问这个项目呢? 此时我们使用钉钉的内网穿透工具即可,这里不使用Ngrok(另外一款工具),因为Ngrok还得安装客户端 配置等比较麻
将本地服务器暴露给互联网
Vv的博客
01-11 2379
无需安装其他映射工具,插件等等 centos,ubuntu,windows亲测可用 一,将端口映射到外网访问 将localhost:8083  本机8083端口映射到外网80访问  ssh -R 80:localhost:8083 serveo.net 这样启动的方式是前台运行,有时候需要后台一直运行,可以放到后台 二,将命令放入后台运行 nohup ssh -R ...
阿里云服务器如何暴露端口
simpleness_的博客
03-04 1756
阿里云服务器如何暴露端口
Linux网络服务(七)——iptables Forward实现内网服务暴露与访问外网
最新发布
荣光波比的博客
08-25 1290
本文档演示了通过DNAT和SNAT实现内网服务暴露到公网及内网访问外网的配置方案。采用三台虚拟机:CentOS网关服务器(双网卡)、CentOS内网服务器Windows外网客户端。详细步骤包括网络环境配置、网关服务器iptables规则设置(开启IP转发、配置SNAT和DNAT),以及测试验证。通过SNAT实现内网访问外网,DNAT将公网IP的22端口转发到内网服务器,最终实现跨网络访问。关键配置包括正确的网关设置、静态路由添加和iptables规则优化。
windows10 远程代码执行漏洞复现(CVE-2020-0796)
键盘上温暖而又美好的时光 .
05-20 2785
漏洞描述 2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。 漏洞危..
Spring远程代码执行漏洞(CVE-2022-22965)
huangyongkang666的博客
04-15 1227
Spring远程代码执行漏洞(CVE-2022-22965) 1.漏洞介绍 Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。 漏洞影响范围: Spring Fr
如何使用 frp 内网穿透将本地服务暴露外网
云储储的博客
08-21 2487
我们有时需要将自己本地的服务暴露外网中,比如微信支付、支付宝支付等调试的时候,或者是自己刚刚开发好的某个应用需要被别人在外网访问到,此时就需要使用内网穿透了
如何检测CVE-2024-38077漏洞Windows远程代码执行
CVE-2024-38077是一个特定的安全漏洞标识,它指的是在Windows远程桌面授权服务中发现的远程代码执行漏洞。此类漏洞允许攻击者通过远程桌面协议(RDP)在目标系统上执行任意代码。这种安全漏洞的严重性很高,因为攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值