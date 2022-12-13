2022年9月、MicrosoftはSPNEGO NEGOEX（CVE-2022-37958）の情報開示の脆弱性にパッチを適用しました。12月13日、マイクロソフトはこの脆弱性を「重要」に再分類しました。これは、IBM Security X-Force® レッド・セキュリティ・リサーチャーのValentina Palmiotti が、この脆弱性で攻撃者がリモートでコードを実行できるようになる可能性があることを発見したためです。

この脆弱性は、クライアントとサーバーが使用するセキュリティー・メカニズムの選択を交渉できるようにする、SPNEGO Extended Negoation (NEGOEX) セキュリティー・メカニズムの中にあります。この脆弱性は、認証前のリモート・コードが実行される脆弱性で、幅広いプロトコルに影響を与えます。ワームになる可能性があります。

この脆弱性により、攻撃者は、デフォルトでサーバー・メッセージ・ブロック（SMB）やリモート・デスクトップ・プロトコル（RDP）などを認証するWindowsアプリケーション・プロトコルを介してNEGOEXプロトコルにアクセスすることで、任意のコードをリモートで実行できる可能性があります。この影響を受けるプロトコルのリストは完全なものではなく、KerberosやNet-NTLM認証などでSPNEGO認証ネゴシエーションが有効になっている場合、Simple Message Transport Protocol (SMTP) やHyper Text Transfer Protocol (HTTP) など、SPNEGOが使用されている場所であればどこにでも存在する可能性があります。

EternalBlueによって悪用され、WannaCryランサムウェア攻撃で使用された脆弱性（CVE-2017-0144）がSMBプロトコルのみに影響したのとは異なり、この脆弱性は範囲が広く、公衆インターネット（HTTP、RDP、SMB）または内部ネットワークに公開されたサービスの攻撃対象領域が広いため、より広範なWindowsシステムに影響を及ぼす可能性があります。この脆弱性では、ターゲット・システム上での被害者によるユーザー操作や認証を必要としません。

Microsoft社は、この脆弱性を「重要」と分類し、エクスプロイトを成功させるために複数の試行が必要となる可能性があるので「高」に評価された「エクスプロイトの複雑さ」を除き、すべてのカテゴリーで重大度が最高に評価されています。これにより、CVSS 3.1の全体的なスコアは「8.1」になります。デフォルト構成のままパッチが適用されていないシステムは脆弱です。

責任ある開示方針の一環として、X-Force® RedはMicrosoftと協力してこの再分類を行っています。防御側にパッチを適用する時間を与えるため、IBMは2023年第2四半期まで技術的な詳細の公開を控えます。