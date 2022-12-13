2022 年 9 月，Microsoft 修补了 SPNEGO NEGOEX 中的信息泄露漏洞 (CVE-2022-37958)。12 月 13 日，Microsoft 将该漏洞重新归类为“严重”程度，此前 IBM Security X-Force Red 安全研究员 Valentina Palmiotti 发现该漏洞可能允许攻击者远程执行代码。

该漏洞存在于 SPNEGO 扩展协商 (NEGOEX) 安全机制中，允许客户端和服务器通过协商选择要使用的安全机制。该漏洞属于预认证远程代码执行漏洞，影响范围覆盖多款协议，且具备蠕虫传播潜力。

默认情况下，攻击者可通过任意支持身份认证的 Windows 应用层协议（如服务器消息块协议 SMB、远程桌面协议 RDP）访问 NEGOEX 协议，利用该漏洞远程执行任意代码。上述受影响协议清单并非完整版本，凡是启用 SPNEGO 协议的场景均有可能存在该漏洞，其中包括启用了 SPNEGO 身份认证协商的简单邮件传输协议 (SMTP) 与超文本传输协议 (HTTP)，例如这类协议搭配 Kerberos 或 Net-NTLM 认证方式部署的场景。

与 EternalBlue 所利用、且被用于 WannaCry 勒索软件攻击的漏洞 (CVE-2017-0144) 不同，该漏洞仅影响 SMB 协议，而本次漏洞的影响范围更为广泛。由于暴露在公共互联网（HTTP、RDP、SMB 协议）或内部网络中的服务存在更大的攻击面，此漏洞可能波及更多 Windows 系统。此外，该漏洞的利用无需目标系统的受害者进行任何交互操作或身份验证。

Microsoft 已将该漏洞归类为“严重”级别，除“利用复杂度”一项被评定为“高”（成功利用该漏洞可能需要多次尝试）外，其余所有评分项均为最高严重等级。这使得该漏洞的 CVSS 3.1 综合评分达到 8.1 分。采用默认配置且未安装补丁的系统均存在该漏洞风险。

遵循负责任披露原则，IBM X-Force Red 团队已与微软协作推进了本次漏洞的等级重分类工作。为给防御方留出补丁部署的缓冲时间，IBM 计划推迟至 2023 年第二季度再公布该漏洞的完整技术细节。