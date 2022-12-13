Im September 2022 hat Microsoft eine Sicherheitslücke in SPNEGO NEGOEX (CVE-2022-37958) geschlossen, die die Offenlegung von Informationen ermöglichte. Am 13. Dezember stufte Microsoft die Sicherheitslücke auf „kritisch“ hoch, nachdem die Sicherheitsforscherin Valentina Palmiotti von IBM Security X-Force Red entdeckt hatte, dass Angreifer über diese Sicherheitslücke Code aus der Ferne ausführen könnten.

Die Sicherheitslücke liegt im SPNEGO Extended Negotiation (NEGOEX) Security Mechanism, der es einem Client und einem Server ermöglicht, die Wahl des zu verwendenden Sicherheitsmechanismus auszuhandeln. Diese Sicherheitslücke ermöglicht die Ausführung von Remote-Code vor der Authentifizierung und betrifft eine Vielzahl von Protokollen. Es hat das Potenzial, „wormable“ zu sein.

Die Sicherheitslücke könnte es Angreifern ermöglichen, beliebigen Code remote auszuführen, indem sie über ein beliebiges Windows-Anwendungsprotokoll, das eine Authentifizierung erfordert, wie beispielsweise Server Message Block (SMB) oder Remote Desktop Protocol (RDP), standardmäßig auf das NEGOEX-Protokoll zugreifen. Diese Liste der betroffenen Protokolle ist nicht vollständig und kann überall dort vorkommen, wo SPNEGO verwendet wird, einschließlich im Simple Message Transport Protocol (SMTP) und im Hyper Text Transfer Protocol (HTTP), wenn die SPNEGO-Authentifizierungsaushandlung aktiviert ist, beispielsweise für die Verwendung mit Kerberos- oder Net-NTLM-Authentifizierung.

Im Gegensatz zu der von EternalBlue ausgenutzten und bei den WannaCry-Ransomware-Angriffen verwendeten Sicherheitslücke (CVE-2017-0144), die nur das SMB-Protokoll betraf, hat diese Sicherheitslücke einen größeren Umfang und könnte aufgrund einer größeren Angriffsfläche von Diensten, die dem öffentlichen Internet (HTTP, RDP, SMB) oder internen Netzwerken ausgesetzt sind, potenziell eine größere Bandbreite von Windows-Systemen betreffen. Diese Sicherheitslücke erfordert keine Benutzerinteraktion oder Authentifizierung durch ein Opfer auf einem Zielsystem.

Microsoft hat diese Sicherheitslücke als „kritisch“ eingestuft, wobei alle Kategorien mit der höchsten Schwere bewertet wurden, mit Ausnahme der „Komplexität der Ausnutzung“, die als hoch eingestuft wurde, da für eine erfolgreiche Ausnutzung möglicherweise mehrere Versuche erforderlich sind. Damit ergibt sich eine Gesamtbewertung von „8,1“ nach CVSS 3.1. Ungepatchte Systeme mit der Standardkonfiguration sind anfällig.

Im Rahmen seiner Richtlinie zur verantwortungsvollen Offenlegung hat X-Force Red mit Microsoft an dieser Neuklassifizierung zusammengearbeitet. Um den Verteidigern Zeit zu geben, die Patches anzuwenden, wird IBM bis zum zweiten Quartal 2023 keine vollständigen technischen Details veröffentlichen.