Microsoft a révisé la gravité d’une vulnérabilité de sécurité qu’il avait initialement corrigée en septembre 2022, en la mettant à niveau vers « Critique » après qu’il est apparu qu’elle pourrait être exploitée pour réaliser l’exécution de code à distance.
Suivi comme CVE-2022-37958 (score CVSS : 8,1), la faille était auparavant décrite comme une vulnérabilité de la divulgation d’informations dans la négociation étendue SPNEGO (NÉGOX) Mécanisme de sécurité.
SPNEGO, abréviation de Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO), est un schéma qui permet à un client et à un serveur distant de parvenir à un consensus sur le choix du protocole à utiliser (par exemple, Kerberos ou NTLM) pour l’authentification.
Mais un analyse plus approfondie de la faille par la chercheuse IBM Security X-Force Valentina Palmiotti a découvert qu’elle pouvait permettre l’exécution à distance de code arbitraire, incitant Microsoft à reclasser sa gravité.
« Cette vulnérabilité est une vulnérabilité d’exécution de code à distance de pré-authentification affectant un large éventail de protocoles », IBM a dit cette semaine. « Il a le potentiel d’être vermifuge. »
En particulier, la lacune pourrait permettre l’exécution de code à distance via n’importe quel protocole d’application Windows qui s’authentifie, y compris HTTP, SMB et RDP. Compte tenu de la criticité du problème, IBM a déclaré qu’il retenait les détails techniques jusqu’au deuxième trimestre 2023 pour donner aux organisations suffisamment de temps pour appliquer les correctifs.
« L’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant prépare l’environnement cible pour améliorer la fiabilité de l’exploit », a déclaré Microsoft. mis en garde dans son avis mis à jour.
« Contrairement à la vulnérabilité (CVE-2017-0144) exploitée par EternalBlue et utilisée dans les attaques du rançongiciel WannaCry, qui n’affectait que le protocole SMB, cette vulnérabilité a une portée plus large et pourrait potentiellement affecter un plus large éventail de systèmes Windows en raison d’une attaque plus importante. surface des services exposés à l’internet public (HTTP, RDP, SMB) ou sur les réseaux internes », a noté IBM.