En septembre 2022, Microsoft a corrigé une vulnérabilité de divulgation d’informations dans SPNEGO NEGOEX (CVE-2022-37958). Le 13 décembre, Microsoft a reclassé la vulnérabilité comme étant de gravité « critique » après que Valentina Palmiotti, chercheuse en sécurité chez IBM Security X-Force Red, a découvert que cette vulnérabilité pouvait permettre à des attaquants d’exécuter du code à distance.

La vulnérabilité réside dans le mécanisme de sécurité de négociation étendue SPNEGO (NEGOEX), qui permet à un client et à un serveur de négocier le choix du mécanisme de sécurité à utiliser. Cette vulnérabilité est une vulnérabilité d’exécution de code à distance avant authentification qui affecte un large éventail de protocoles. Elle a le potentiel d’être ciblé par un ver informatique.

La vulnérabilité pourrait permettre aux attaquants d’exécuter à distance un code arbitraire en accédant au protocole NEGOEX via n’importe quelle application d’authentification Windows, telle que Server Message Block (SMB) ou Remote Desktop Protocol (RDP), par défaut. Cette liste des protocoles affectés n’est pas complète et peut exister partout où SPNEGO est utilisé, y compris dans le Simple Message Transport Protocol (SMTP) et le Hyper Text Transfer Protocol (HTTP) lorsque la négociation d’authentification SPNEGO est activée, comme pour une utilisation avec Kerberos ou l’authentification Net-NTLM.

Contrairement à la vulnérabilité (CVE-2017-0144) exploitée par EternalBlue et utilisée dans les attaques par ransomware WannaCry, qui n’affectaient que le protocole SMB, cette vulnérabilité a une portée plus large et pourrait potentiellement affecter un plus large éventail de systèmes Windows en raison d’une surface d’attaque plus importante des services exposés à l’Internet public (HTTP, RDP, SMB) ou sur des réseaux internes. Cette vulnérabilité ne nécessite pas d’interaction ou d’authentification de la part de la victime sur le système cible.

Microsoft a classé cette vulnérabilité comme « Critique », toutes les catégories étant classées à une gravité maximale à l’exception de la « Complexité d’exploitation », qui est classée Élevée car elle peut nécessiter plusieurs tentatives pour une exploitation réussie. Cela porte le score global CVSS 3.1 à 8,1. Les systèmes non corrigés dotés de la configuration par défaut sont vulnérables.

Dans le cadre de sa politique de divulgation responsable, X-Force Red a travaillé avec Microsoft sur ce reclassement. Afin de donner aux défenseurs le temps d’appliquer des correctifs, IBM s’abstiendra de publier tous les détails techniques avant le deuxième trimestre 2023.