En septiembre de 2022, Microsoft corrigió una vulnerabilidad de divulgación de información en SPNEGO NEGOEX (CVE-2022-37958). El 13 de diciembre, Microsoft reclasificó la vulnerabilidad como de gravedad “crítica” después de que Valentina Palmiotti, investigadora de seguridad de IBM Security X-Force Red, descubriera que la vulnerabilidad podría permitir a los atacantes ejecutar código de forma remota.

La vulnerabilidad se encuentra en el mecanismo de seguridad de negociación extendida SPNEGO (NEGOEX), que permite que un cliente y un servidor negocien la elección del mecanismo de seguridad a utilizar. Esta vulnerabilidad es una vulnerabilidad de ejecución remota de código previa a la autenticación que afecta a una amplia gama de protocolos. Tiene el potencial de ser vulnerable a gusanos.

La vulnerabilidad podría permitir a los atacantes ejecutar de forma remota código arbitrario accediendo al protocolo NEGOEX a través de cualquier protocolo de aplicación de Windows que autentique, como Server Message Block (SMB) o Remote Desktop Protocol (RDP), de forma predeterminada. Esta lista de protocolos afectados no está completa y puede existir dondequiera que se utilice SPNEGO, incluso en el Protocolo simple de transporte de mensajes (SMTP) y el Protocolo de transferencia de hipertexto (HTTP) cuando la negociación de autenticación SPNEGO está habilitada, como para su uso con Kerberos o autenticación Net-NTLM.

A diferencia de la vulnerabilidad (CVE-2017-0144) explotada por EternalBlue y utilizada en los ataques de ransomware WannaCry, que solo afectó al protocolo SMB, esta vulnerabilidad tiene un alcance más amplio y podría afectar potencialmente a una gama más amplia de sistemas Windows debido a una superficie de ataque más grande de servicios expuestos a la Internet pública (HTTP, RDP, SMB) o en redes internas. Esta vulnerabilidad no requiere interacción del usuario ni autenticación por parte de una víctima en un sistema de destino.

Microsoft ha clasificado esta vulnerabilidad como “crítica”, con todas las categorías calificadas con una gravedad máxima con la excepción de “complejidad de exploit”, que se califica como alta, ya que puede requerir múltiples intentos para una explotación exitosa. Esto eleva la puntuación general de CVSS 3.1 a “8.1”. Los sistemas sin parches con la configuración predeterminada son vulnerables.

Como parte de su política de divulgación responsable, X-Force Red ha trabajado con Microsoft en esta reclasificación. Para dar tiempo a los defensores a aplicar los parches, IBM se abstendrá de publicar detalles técnicos completos hasta el segundo trimestre de 2023.