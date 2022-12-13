في سبتمبر 2022، قامت Microsoft بتصحيح ثغرة أمنية في الكشف عن المعلومات في SPNEGO NEGOEX (CVE-2022-37958). وفي 13 ديسمبر، أعادت Microsoft تصنيف الثغرة الأمنية إلى "حساسة" بعد أن اكتشفت الباحثة في الأمن في IBM Security X-Force Valentina Palmiotti أن الثغرة الأمنية قد تسمح للمهاجمين بتنفيذ الكود عن بُعد.

تكمن الثغرة في آلية الأمان الخاصة بالتفاوض الموسّع لـ SPNEGO (NEGOEX)، وهي آلية تتيح للعميل والخادم التفاوض فيما بينهما لاختيار آلية الأمان التي سيتم استخدامها. وتُعد هذه الثغرة الأمنية ثغرة تنفيذ رموز عن بُعد قبل المصادقة، وتؤثر على مجموعة واسعة من البروتوكولات. ولديها القدرة على أن تكون قابلة للانتشار الذاتي والنسخ التلقائي.

قد تسمح الثغرة الأمنية للمهاجمين بتنفيذ رمز عشوائي عن بُعد من خلال الوصول إلى بروتوكول NEGOEX عبر أي بروتوكول تطبيق في نظام التشغيل Windows يقوم بالمصادقة، مثل Server Message Block (SMB) أو Remote Desktop Protocol (RDP)، بشكل افتراضي. إن قائمة البروتوكولات المتأثرة هذه ليست كاملة وقد تظهر الثغرة في أي موضع يتم فيه استخدام SPNEGO، بما في ذلك بروتوكول نقل البريد البسيط (SMTP) وبروتوكول نقل النص الفائق (HTTP)، وذلك عند تفعيل التفاوض على مصادقة SPNEGO، مثل الحالات التي يتم فيها استخدام Kerberos أو مصادقة Net-NTLM.

وعلى عكس الثغرة الأمنية (CVE-2017-0144) التي استغلتها EternalBlue واستخدمت في هجمات برنامج الفدية WannaCry، والتي أثرت فقط على بروتوكول SMB، فإن هذه الثغرة الأمنية لها نطاق أوسع ويمكن أن تؤثر على نطاق أوسع من أنظمة Windows بسبب سطح هجوم أكبر للخدمات المعرضة للإنترنت العام (HTTP، RDP، SMB) أو على الشبكات الداخلية. ولا تتطلب هذه الثغرة الأمنية تدخل المستخدم أو المصادقة من هدف على نظام مستهدف.

صنفت Microsoft هذه الثغرة الأمنية على أنها "حساسة"، حيث تم تصنيف جميع الفئات بأقصى شدة باستثناء "تعقيد الاستغلال"، الذي يصنف بمستوى عال، حيث قد يتطلب عدة محاولات لتحقيق استغلال ناجح. وبذلك يرتفع إجمالي درجة CVSS 3.1 إلى "8.1 ". تكون الأنظمة غير المصححة ذات التكوين الافتراضي عرضة للخطر.

كجزء من سياسة الإفصاح المسؤول، عملت X-Force Red مع Microsoft على إعادة التصنيف هذه. ولإعطاء المدافعين وقتًا لتطبيق التصحيحات، ستمتنع IBM عن الإفصاح عن التفاصيل التقنية الكاملة حتى الربع الثاني من عام 2023.