Microsoft a révisé la gravité d’une vulnérabilité de sécurité qu’il avait initialement corrigée en septembre 2022, en la mettant à niveau vers « Critique » après qu’il est apparu qu’elle pourrait être exploitée pour réaliser l’exécution de code à distance.
Suivie sous le nom de CVE-2022-37958 (score CVSS : 8,1), la faille était précédemment décrite comme une vulnérabilité de divulgation d’informations dans le mécanisme de sécurité SPNEGO Extended Negotiation (NEGOEX).
SPNEGO, abréviation de Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO), est un schéma qui permet à un client et à un serveur distant de parvenir à un consensus sur le choix du protocole à utiliser (par exemple, Kerberos ou NTLM) pour l’authentification.
Mais une analyse plus approfondie de la faille par Valentina Palmiotti, chercheuse chez IBM Security X-Force, a révélé qu’elle pouvait permettre l’exécution à distance de code arbitraire, ce qui a incité Microsoft à reclasser sa gravité.
« Cette vulnérabilité est une vulnérabilité d’exécution de code à distance de pré-authentification affectant un large éventail de protocoles », a déclaré IBM cette semaine. « Il a le potentiel d’être vermifuge. »
En particulier, la lacune pourrait permettre l’exécution de code à distance via n’importe quel protocole d’application Windows qui s’authentifie, y compris HTTP, SMB et RDP. Compte tenu de la criticité du problème, IBM a déclaré qu’il retenait les détails techniques jusqu’au deuxième trimestre 2023 pour donner aux organisations suffisamment de temps pour appliquer les correctifs.
« Une exploitation réussie de cette vulnérabilité nécessite qu’un attaquant prépare l’environnement cible pour améliorer la fiabilité de l’exploit », a averti Microsoft dans son avis mis à jour.
« Contrairement à la vulnérabilité (CVE-2017-0144) exploitée par EternalBlue et utilisée dans les attaques du rançongiciel WannaCry, qui n’affectait que le protocole SMB, cette vulnérabilité a une portée plus large et pourrait potentiellement affecter un plus large éventail de systèmes Windows en raison d’une attaque plus importante. surface des services exposés à l’internet public (HTTP, RDP, SMB) ou sur les réseaux internes », a noté IBM.