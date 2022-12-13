En septiembre de 2022, Microsoft corrigió una vulnerabilidad de divulgación de información en SPNEGO NEGOEX (CVE-2022-37958). El 13 de diciembre, Microsoft reclasificó la vulnerabilidad como de gravedad “crítica” después de que Valentina Palmiotti, investigadora de seguridad de IBM® Security X-Force Red, descubriera que la vulnerabilidad podía permitir a los atacantes ejecutar código de forma remota.

La vulnerabilidad se encuentra en el mecanismo de seguridad de negociación extendida SPNEGO (NEGOEX), que permite al cliente y al servidor negociar la elección del mecanismo de seguridad que se va a utilizar. Se trata de una vulnerabilidad de ejecución remota de código previa a la autenticación que afecta a una amplia gama de protocolos. Tiene el potencial de propagación automática.

La vulnerabilidad podría permitir a los atacantes ejecutar código arbitrario de forma remota accediendo al protocolo NEGOEX a través de cualquier protocolo de aplicación de Windows que se autentique, como SMB (Server Message Block) o RDP (Remote Desktop Protocol), de forma predeterminada. Esta lista de protocolos afectados no es completa y puede existir siempre que se utilice SPNEGO, incluidos el SMTP (Simple Message Transport Protocol) y el HTTP (Hyper Text Transfer Protocol) cuando la negociación de autenticación SPNEGO está habilitada, como para su uso con la autenticación Kerberos o Net-NTLM.

A diferencia de la vulnerabilidad (CVE-2017-0144) explotada por EternalBlue y utilizada en los ataques de ransomware WannaCry, que solo afectaba al protocolo SMB, esta vulnerabilidad tiene un alcance más amplio y podría afectar a una gama más amplia de sistemas Windows debido a una mayor superficie de ataque de los servicios expuestos a la red pública de internet (HTTP, RDP, SMB) o en redes internas. Esta vulnerabilidad no requiere la interacción del usuario ni la autenticación de la víctima en el sistema de destino.

Microsoft ha clasificado esta vulnerabilidad como “crítica”, con todas las categorías calificadas con la máxima gravedad, a excepción de la “complejidad de explotación”, que se califica como alta, ya que puede requerir múltiples intentos para que la explotación tenga éxito. Esto eleva la puntuación global CVSS 3.1 a “8,1”. Los sistemas sin parchear con la configuración predeterminada son vulnerables.

Como parte de su política de divulgación responsable, X-Force Red ha colaborado con Microsoft en esta reclasificación. Con el fin de dar tiempo a los responsables de la seguridad para aplicar los parches, IBM se abstendrá de publicar los detalles técnicos completos hasta el segundo trimestre de 2023.