Menu dostępności

luka CVE-2022-37958

Uwaga na tę krytyczną podatność – umożliwia zdalne uruchomienie kodu i przejęcie kontroli nad Windows

Opisywana przez nas dzisiaj luka powinna zostać potraktowana poważnie przez firmy – w szczególności te, które wystawiają publicznie zasoby Windows – do Internetu lub w wewnętrznych sieciach po protokołach HTTP, RDP oraz SMB. Problem dotyczy zarówno wersji klienckich Windows (od 7 do 11), jak i serwerowych (od 2012 do 2022).

We wrześniu 2022 r. Microsoft załatał lukę umożliwiającą ujawnienie informacji w SPNEGO NEGOEX (CVE-2022-37958). 13 grudnia przeklasyfikował ją na krytyczną po tym, jak Valentina Palmiotti, badaczka ds. bezpieczeństwa IBM Security X-Force Red, odkryła, że może pozwolić ona atakującym na zdalne wykonanie kodu.

W przeciwieństwie do podatności CVE-2017-0144, wykorzystywanej przez EternalBlue oraz w atakach ransomware WannaCry, która dotyczyła tylko protokołu SMB, opisywana luka w zabezpieczeniach ma szerszy zakres i potencjalnie może wpłynąć na więcej systemów Windows ze względu na większą powierzchnię ataku usług wystawionych w Internecie (HTTP, RDP, SMB) lub w sieciach wewnętrznych.

Istotne w tym wszystkim jest, że nie wymaga ona interakcji użytkownika ani uwierzytelnienia przez ofiarę w systemie docelowym.

Szczegóły na temat CVE-2022-37958

Luka w zabezpieczeniach dotyczy mechanizmu bezpieczeństwa SPNEGO Extended Negotiation (NEGOEX). Dzięki niej można zdalnie wykonać dowolny kod na komputerze ofiary poprzez dostęp do protokołu NEGOEX za pośrednictwem dowolnego uwierzytelniającego protokołu aplikacji systemu Windows, takiego jak domyślnie Server Message Block (SMB) lub Remote Desktop Protocol (RDP).

Należy pamiętać, że lista protokołów, których może dotknąć problem, nie jest kompletna i może istnieć wszędzie tam, gdzie jest używany SPNEGO. Dotyczy to zarówno protokołu Simple Message Transport Protocol (SMTP), jak i Hyper Text Transfer Protocol (HTTP), gdy włączona jest negocjacja uwierzytelniania SPNEGO – na przykład do użytku z Kerberos lub Net- uwierzytelnianie NTLM.

Exploit zaprezentowany w Internecie

Jakie zagrożenie dla organizacji może powodować niezałatany przed tą podatnością Windows, pokazuje poniższy przykład. W Internecie możemy znaleźć POC wykorzystujący opisywaną podatność, w którym badaczka odpala specjalny exploit z maszyny linuksowej i zdalnie hakuje system operacyjny Windows.

Exploit CVE-2022-37958 w działaniu

Bez posiadania uprawnień jest w stanie odpalić kod programu na Windows – skutkiem czego na nagraniu pojawia się słynny niebeski ekran. Badaczka zwraca także uwagę, że w chwili publikacji podatności otrzymała ona status ważności niski (low), lecz ostatnio Microsoft zmienił go na krytyczny (critical). W konsekwencji wiele firm może nadal traktować podatność jako mało ważną i nie łatać systemów w odpowiedniej kolejności. POC z exploitacji Windows możecie obejrzeć na poniższym nagraniu.

Rekomendacje

Zalecamy jak najszybszą aktualizację systemów Windows. Oprócz tego warto:

  • sprawdzić, jakie usługi, takie jak SMB i RDP, są dostępne w Internecie,
  • ciągle monitorować obszar ataku, w tym serwery WWW Microsoft IIS HTTP z włączonym uwierzytelnianiem systemu Windows,
  • ograniczyć na IIS dostawców uwierzytelniania Windows do Kerberos lub Net-NTLM i usunąć „Negotiate” jako domyślnego dostawcę, jeśli nie można zastosować poprawki.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...