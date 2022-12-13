Pada September 2022, Microsoft menambal kerentanan pengungkapan informasi di SPNEGO NEGOEX (CVE-2022-37958). Pada 13 Desember, Microsoft mengklasifikasi ulang kerentanan sebagai tingkat keparahan “Kritis” setelah Peneliti Keamanan IBM Security X-Force Red Valentina Palmiotti menemukan kerentanan dapat memungkinkan penyerang untuk mengeksekusi kode dari jarak jauh.

Kerentanan ada dalam Mekanisme Keamanan SPNEGO Extended Negotiation (NEGOEX), yang memungkinkan klien dan server untuk menegosiasikan pilihan mekanisme keamanan untuk digunakan. Kerentanan ini adalah kerentanan eksekusi kode jarak jauh pra-otentikasi yang berdampak pada berbagai macam protokol. Ini memiliki potensi untuk menjadi worm.

Kerentanan ini dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer dari jarak jauh dengan mengakses protokol NEGOEX melalui protokol aplikasi Windows apa pun yang mengautentikasi, seperti Server Message Block (SMB) atau Remote Desktop Protocol (RDP), secara default. Daftar protokol yang terpengaruh ini tidak lengkap dan mungkin ada di mana pun SPNEGO digunakan, termasuk dalam Simple Message Transport Protocol (SMTP) dan Hyper Text Transfer Protocol (HTTP) ketika negosiasi otentikasi SPNEGO diaktifkan, seperti untuk digunakan dengan otentikasi Kerberos atau Net-NTLM.

Berbeda dengan kerentanan (CVE-2017-0144) yang dieksploitasi oleh EternalBlue dan digunakan dalam serangan ransomware WannaCry, yang hanya mempengaruhi protokol SMB, kerentanan ini memiliki cakupan yang lebih luas dan berpotensi mempengaruhi jangkauan sistem Windows yang lebih luas karena permukaan serangan yang lebih besar dari layanan yang terpapar ke internet publik (HTTP, RDP, SMB) atau pada jaringan internal. Kerentanan ini tidak memerlukan interaksi pengguna atau otentikasi oleh korban pada sistem target.

Microsoft telah mengklasifikasikan kerentanan ini sebagai “Kritis”, dengan semua kategori dinilai pada tingkat keparahan maksimum dengan pengecualian “Kompleksitas Eksploitasi”, yang diberi peringkat Tinggi, karena mungkin memerlukan beberapa upaya untuk eksploitasi yang berhasil. Ini membawa skor CVSS 3.1 keseluruhan menjadi “8.1”. Sistem yang belum di-patch dengan konfigurasi default rentan.

Sebagai bagian dari kebijakan pengungkapan yang bertanggung jawab, X-Force Red telah bekerja dengan Microsoft dalam reklasifikasi ini. Untuk memberi pihak pertahanan waktu untuk menerapkan patch, IBM akan menahan diri untuk tidak merilis detail teknis lengkap hingga Kuartal 2 2023.