Microsoft, ilk olarak Eylül 2022’de yamaladığı bir güvenlik açığının önem derecesini revize etti ve uzaktan kod yürütmek için istismar edilebileceği ortaya çıktıktan sonra “Kritik” olarak yükseltti.
şu şekilde izlendi: CVE-2022-37958 (CVSS puanı: 8.1), kusur daha önce SPNEGO Extended Negotiation (NEGOEX) Güvenlik Mekanizmasında bir bilgi ifşa güvenlik açığı olarak tanımlanmıştı.
Basit ve Korumalı GSSAPI Anlaşma Mekanizması’nın (SPNEGO) kısaltması olan SPNEGO, bir istemcinin ve uzak sunucunun, kimlik doğrulama için kullanılacak protokolün (örn. Kerberos veya NTLM) seçiminde fikir birliğine varmasını sağlayan bir şemadır.
Ancak ileri analiz IBM Security X-Force araştırmacısı Valentina Palmiotti tarafından yapılan kusurun rasgele kodun uzaktan yürütülmesine izin verebileceğini keşfetti ve Microsoft’tan ciddiyetini yeniden sınıflandırmasını istedi.
IBM bu hafta yaptığı açıklamada, “Bu güvenlik açığı, çok çeşitli protokolleri etkileyen bir kimlik doğrulama öncesi uzaktan kod yürütme güvenlik açığıdır” dedi. “Kurtlanabilir olma potansiyeline sahip.”
Özellikle eksiklik, HTTP, SMB ve RDP dahil olmak üzere kimliği doğrulayan herhangi bir Windows uygulama protokolü aracılığıyla uzaktan kod yürütülmesini sağlayabilir. Sorunun kritikliği göz önüne alındığında IBM, kuruluşlara düzeltmeleri uygulamak için yeterli zaman tanımak amacıyla teknik ayrıntıları 2023’ün ikinci çeyreğine kadar sakladığını söyledi.
Microsoft, güncellenmiş danışma belgesinde “Bu güvenlik açığından başarılı bir şekilde yararlanılması, bir saldırganın açıklardan yararlanma güvenilirliğini artırmak için hedef ortamı hazırlamasını gerektirir.”
“EternalBlue tarafından istismar edilen ve yalnızca SMB protokolünü etkileyen WannaCry fidye yazılımı saldırılarında kullanılan güvenlik açığından (CVE-2017-0144) farklı olarak, bu güvenlik açığı daha geniş bir kapsama sahiptir ve daha büyük bir saldırı nedeniyle potansiyel olarak daha geniş bir Windows sistemini etkileyebilir. IBM, halka açık internete (HTTP, RDP, SMB) veya dahili ağlara maruz kalan hizmetlerin yüzeyi” dedi.