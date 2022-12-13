Nel settembre 2022, Microsoft ha corretto una vulnerabilità di divulgazione di informazioni in SPNEGO NEGOEX (CVE-2022-37958). Il 13 dicembre, Microsoft ha riclassificato la vulnerabilità come gravità "Critica" dopo che Valentina Palmiotti , ricercatrice di sicurezza IBM Security X-Force Red, ha scoperto che la vulnerabilità poteva permettere agli attaccanti di eseguire codice a distanza.

La vulnerabilità risiede nel meccanismo di sicurezza SPNEGO Extended Negotiation (NEGOEX), che consente a un client e a un server di negoziare la scelta del meccanismo di sicurezza da utilizzare. Questa è una vulnerabilità di esecuzione remota del codice pre-autenticazione che impatta una vasta gamma di protocolli. Ha il potenziale di essere attaccabile da un worm.

La vulnerabilità potrebbe permettere agli aggressori di eseguire da remoto codice arbitrario accedendo al protocollo NEGOEX tramite qualsiasi applicazione di Windows che si autentichi, come Server Message Block (SMB) o Remote Desktop Protocol (RDP), di default. Questa lista dei protocolli interessati non è completa e può esistere ovunque SPNEGO sia in uso, inclusi nel Simple Message Transport Protocol (SMTP) e nell'Hyper Text Transfer Protocol (HTTP) quando è abilitata la negoziazione dell'autenticazione SPNEGO, ad esempio per l'uso con Kerberos o l'autenticazione Net-NTLM.

A differenza della vulnerabilità (CVE-2017-0144) sfruttata da EternalBlue e utilizzata negli attacchi ransomware WannaCry, che hanno colpito solo il protocollo SMB, questa vulnerabilità ha un ambito più ampio e potrebbe potenzialmente colpire una gamma più ampia di sistemi Windows a causa di una superficie di attacco più ampia di servizi esposti a internet pubblico (HTTP, RDP, SMB) o su reti interne. Questa vulnerabilità non richiede l'interazione o l'autenticazione da parte dell'utente su un sistema target.

Microsoft ha classificato questa vulnerabilità come "Critica", con tutte le categorie classificate con la massima gravità, ad eccezione di "Complessità dell'utilizzare", che è classificata Alta, poiché potrebbero essere necessari più tentativi per sfruttare con successo. Ciò porta il punteggio complessivo CVSS 3.1 a “8.1”. I sistemi non patchati con la configurazione predefinita sono vulnerabili.

Nell'ambito della sua politica di divulgazione responsabile, X-Force Red ha collaborato con Microsoft per questa riclassificazione. Per dare ai difensori il tempo di applicare le patch, IBM si asterrà dal divulgare dettagli tecnici completi fino al secondo trimestre del 2023.