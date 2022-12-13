Em setembro de 2022, a Microsoft corrigiu uma vulnerabilidade de divulgação de informações no SPNEGO NEGOEX (CVE-2022-37958). Em 13 de dezembro, a Microsoft reclassificou a vulnerabilidade como sendo de gravidade "crítica" depois que Valentina Palmiotti, pesquisadora de segurança do IBM Security X-Force Red, descobriu que a vulnerabilidade poderia permitir que invasores executassem código remotamente.

A vulnerabilidade está no mecanismo de segurança de negociação estendida do SPNEGO (NEGOEX), que permite que cliente e servidor negociem a escolha do mecanismo de segurança a ser utilizado. Essa vulnerabilidade é uma falha de execução remota de código pré-autenticação que afeta uma ampla gama de protocolos. Há potencial para se propagar como um worm.

A vulnerabilidade pode permitir que invasores executem remotamente códigos arbitrários acessando o protocolo NEGOEX por meio de qualquer protocolo de aplicação do Windows que utilize autenticação, como Server Message Block (SMB) ou Remote Desktop Protocol (RDP), por padrão. Esta lista de protocolos afetados não está completa e pode existir em qualquer lugar em que o SPNEGO esteja em uso, incluindo Simple Message Transport Protocol (SMTP) e Hyper Text Transfer Protocol (HTTP) quando a negociação de autenticação SPNEGO está habilitada, como para uso com autenticação Kerberos ou Net-NTLM.

Ao contrário da vulnerabilidade (CVE-2017-0144) explorada pela EternalBlue e usada nos ataques de ransomware WannaCry, que afetava somente o protocolo SMB, essa vulnerabilidade tem um escopo mais amplo e pode afetar uma gama maior de sistemas Windows devido a uma superfície de ataque maior de serviços expostos à internet pública (HTTP, RDP, SMB) ou em redes internas. Essa vulnerabilidade não requer interação do usuário nem autenticação por parte da vítima no sistema alvo.

A Microsoft classificou essa vulnerabilidade como “crítica”, com todas as categorias classificadas como gravidade máxima, com exceção da “Exploit Complexity”, que foi classificada como alta, pois pode exigir várias tentativas para uma invasão bem-sucedida. Isso eleva a pontuação geral do CVSS de 3,1 para "8,1". Sistemas não corrigidos com a configuração padrão são vulneráveis.

Como parte de sua política de divulgação responsável, o X-Force Red trabalhou com a Microsoft nessa reclassificação. Para dar tempo aos responsáveis pela segurança aplicarem as correções, a IBM não divulgará todos os detalhes técnicos até o segundo trimestre de 2023.