.
Pesquisadores descobriram recentemente uma vulnerabilidade de execução de código do Windows que tem potencial para rivalizar com o EternalBlue, o nome de uma falha de segurança diferente do Windows usada para detonar o WannaCry, o ransomware que desligou redes de computadores em todo o mundo em 2017.
Como o EternalBlue, o CVE-2022-37958, conforme a vulnerabilidade mais recente é rastreada, permite que os invasores executem códigos maliciosos sem a necessidade de autenticação. Além disso, como o EternalBlue, é wormable, o que significa que uma única exploração pode desencadear uma reação em cadeia de explorações subsequentes auto-replicantes em outros sistemas vulneráveis. A wormability do EternalBlue permitiu que o WannaCry e vários outros ataques se espalhassem pelo mundo em questão de minutos, sem a necessidade de interação do usuário.
Mas, ao contrário do EternalBlue, que pode ser explorado usando apenas o SMB, ou bloco de mensagens do servidor, um protocolo para compartilhamento de arquivos e impressoras e atividades de rede semelhantes, esta última vulnerabilidade está presente em uma gama muito mais ampla de protocolos de rede, dando aos invasores mais flexibilidade do que eles tinham ao explorar a vulnerabilidade mais antiga.
“Um invasor pode ativar a vulnerabilidade por meio de qualquer protocolo de aplicativo do Windows que autentique”, disse Valentina Palmiotti, pesquisadora de segurança da IBM que descobriu a vulnerabilidade de execução de código, em entrevista. “Por exemplo, a vulnerabilidade pode ser acionada ao tentar se conectar a um compartilhamento SMB ou via Área de Trabalho Remota. Alguns outros exemplos incluem servidores Microsoft IIS expostos à Internet e servidores SMTP com autenticação do Windows habilitada. Claro, eles também podem ser explorados em redes internas se não forem corrigidos.”
A Microsoft corrigiu o CVE-2022-37958 em setembro durante o lançamento mensal do Patch Tuesday de correções de segurança. Na época, no entanto, os pesquisadores da Microsoft acreditavam que a vulnerabilidade permitia apenas a divulgação de informações potencialmente confidenciais. Como tal, a Microsoft atribuiu à vulnerabilidade a designação de “importante”. No curso rotineiro de análise de vulnerabilidades depois de corrigidas, Palmiotti descobriu que permitia a execução remota de código da mesma forma que o EternalBlue fazia. Na semana passada, a Microsoft revisou a designação para crítica e deu a ela uma classificação de gravidade de 8,1, a mesma dada ao EternalBlue.
O CVE-2022-37958 reside no SPNEGO Extended Negotiation, um mecanismo de segurança abreviado como NEGOEX que permite que um cliente e um servidor negociem os meios de autenticação. Quando duas máquinas se conectam usando a Área de Trabalho Remota, por exemplo, o SPNEGO permite que negociem o uso de protocolos de autenticação como NTLM ou Kerberos.
O CVE-2022-37958 permite que invasores executem remotamente códigos maliciosos acessando o protocolo NEGOEX enquanto um alvo está usando um protocolo de aplicativo do Windows que autentica. Além de SMB e RDP, a lista de protocolos afetados também pode incluir Simple Message Transport Protocol (SMTP) e Hyper Text Transfer Protocol (HTTP) se a negociação SPNEGO estiver habilitada.
Um fator potencialmente atenuante é que um patch para CVE-2022-37958 está disponível há três meses. O EternalBlue, por outro lado, foi inicialmente explorado pela NSA como um dia zero. A exploração altamente armada da NSA foi então lançada na selva por um grupo misterioso que se autodenomina Shadow Brokers. O vazamento, um dos piores da história da NSA, deu a hackers de todo o mundo acesso a uma exploração potente de nível nacional.
Palmiotti disse que há motivos para otimismo, mas também para risco: “Enquanto o EternalBlue foi um dia 0, felizmente este é um dia N com um tempo de execução de patch de 3 meses”, disse Palmiotti. “Como vimos com outras vulnerabilidades importantes ao longo dos anos, como o MS17-010, que foi explorado com o EternalBlue, algumas organizações demoraram a implantar patches por vários meses ou carecem de um inventário preciso de sistemas expostos à Internet e sistemas de patching ausentes completamente.”
A descrição da vulnerabilidade da IBM está aqui.
.
