Eylül 2022’de SPNEGO NEGOEX’te bulunan bir bilginin açığa çıkması güvenlik açığı Microsoft tarafından yamalandı ve bu güvenlik açığı CVE-2022-37958 olarak izlendi.
Bu güvenlik açığı, Microsoft tarafından 13 Aralık’ta “Kritik” güvenlik açığı olarak yeniden sınıflandırılırken. Sorun, uzaktan kod yürütmenin bu güvenlik açığından yararlanılarak gerçekleştirilebileceği anlaşıldığında ortaya çıktı.
SPNEGO kullanarak, bir istemci ve bir uzak sunucu, kullanılacak protokol üzerinde anlaşarak bağlantının kimliğini doğrulamak için kullanılacak protokol üzerinde fikir birliğine varabilir.
Ayrıca, bu güvenlik açığı, kimlik doğrulama öncesi bir RCE güvenlik açığı olduğu için çok çeşitli protokolleri etkiler ve yalnızca kurtlanma olasılığı bile yoktur.
Güvenlik açığı, IBM Security X-Force araştırmacısı Valentina Palmiotti’nin güvenlik açığından uzaktan yararlanılabileceğini keşfetmesinin ardından ciddi olarak yeniden sınıflandırıldı.
Kusur Profili
- CVE Kimliği: CVE-2022-37958
- Açıklama: SPNEGO Extended Negotiation (NEGOEX) Güvenlik Mekanizması Uzaktan Kod Yürütme Güvenlik Açığı
- Önem Derecesi: Kritik
- CVSS Puanı: 8.1
- Çıkış: 13 Eyl 2022
- Son güncelleme: 13 Aralık 2022
Bu güvenlik açığı, kimlik doğrulama içeren herhangi bir Windows uygulama protokolü aracılığıyla RCE’yi kolaylaştırabilir ve aşağıda protokollerden bahsetmiştik: –
- HTTP (Köprü Metni Aktarım Protokolü)
- SMB (Sunucu İleti Bloğu)
- RDP (Uzak Masaüstü Protokolü)
- SMTP (Basit Mesaj Taşıma Protokolü)
IBM, kuruluşlara önerilen düzeltmeleri uygulamaları için yeterli süre tanımak amacıyla, sorunun ciddiyeti nedeniyle sorunla ilgili teknik ayrıntıları 2023’ün 2. çeyreğine kadar saklayacağını söyledi.
Bir kurbanın bu güvenlik açığına maruz kalmadan önce bir hedef sistemle etkileşime girmesine veya kimliğini doğrulamasına gerek yoktur.
Bu yeniden sınıflandırma, şirketin Microsoft ile işbirliği yaptığı X-Force Red’in sorumlu ifşa politikasına uygun olarak yapılmıştır.
öneriler
SPNEGO, dünya çapında kullanıcılar ve yöneticiler tarafından yaygın olarak kullanılmaktadır ve bu nedenle yamayı mümkün olan en kısa sürede uygulamanız önemle tavsiye edilir.
Bu düzeltme, Eylül 2022 güvenlik güncelleştirmesine eklenmiştir ve tüm Windows 7 ve daha yeni işletim sistemleri için geçerlidir.
X-Force Red’in önerileri aşağıdaki noktaları içerir:-
- SMB ve RDP dahil olmak üzere internete maruz kalan hizmetleri gözden geçirmek önemlidir.
- Kuruluşunuzun saldırı yüzeyini sürekli olarak takip etmek.
- Windows kimlik doğrulamasını kullanacak şekilde yapılandırılmış tüm Microsoft IIS HTTP web sunucularına göz kulak olduğunuzdan emin olun.
- Windows kimlik doğrulama sağlayıcıları olarak yalnızca Kerberos veya Net-NTLM’nin mevcut olduğundan emin olun.
- Yamayı uygulayamıyorsanız, “Pazarlık”ı varsayılan sağlayıcı olarak kaldırın.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin