O vulnerabilitate critică Windows a fost descoperită abia acum. De ce e periculoasă

Noua vulnerabilitate poartă denumirea CVE-2022-37958. La fel ca EternalBlue, CVE-2022-37958 permite hackerilor să execute cod periculos fără să fie necesară autentificarea, scrie Ars Technica. 

Ca și în cazul EternalBlue, vulnerabilitatea permite executarea mai multor exploatări pornind de la una singură, pe sistemele vulnerabile. Această caracteristică a permis ransomware-ului WannaCry să se răspândească în întreaga lume, în doar câteva minute, fără să fie necesară interacțiunea utilizatorilor. 

O vulnerabilitate critică Windows a fost descoperită abia acum

EternalBlue putea fi exploatată doar când se folosea SMB (server message block). Acesta era un protocol pentru partajare a fișierelor. Cea mai recentă vulnerabilitate e prezentă în mai multe protocoale. Ca urmare, hackerii au o flexibilitatea mai mare de a exploata CVE-2022-37958, o vulnerabilitate critică Windows. 

„Un hacker poate porni vulnerabilitatea via oricărui protocol din aplicațiile Windows care se autentifică,” a declarat Valentina Palmiotti. Ea a expert în securitate din cadrul IBM, prima care a descoperit vulnerabilitatea. „De exemplu, vulnerabilitatea poate fi activată prin încercarea de conectare la SMB sau via Remote Desktop. Alte exemple includ serverele Microsoft IIS expuse și serverele SMTP care au autentificarea Windows pornită. Desigur, pot să fie exploatate și pe rețele interne dacă nu sunt actualizate.” 

Află cum activezi Modul Dumnezeu în Windows 11 și 10.

Microsoft a reparat CVE-2022-37958, în cadrul programului Patch Tuesday, în septembrie. În acel moment, experții credeau că vulnerabilitatea permite expunerea informațiilor potențial sensibile. CVE-2022-37958, o vulnerabilitate critică Windows, era considerată importantă și atunci. La fel ca alte astfel de vulnerabilități, ea a fost analizată de Palmiotti. Atunci a fost descoperit adevăratul pericol. Săptămâna trecută, vulnerabilitatea a primit o notă de severitate de 8.1, la fel ca EternalBlue. 

De ce e periculoasă vulnerabilitatea Windows

CVE-2022-37958 se găsește în SPNEGO Extended Negotiation, un mecanism de securitate cunoscut și drept NEGOEX. Acesta permite unui client și unui server să negocieze modul de autentificare. Atunci când cele 2 entități sunt conectate cu Remote Desktop, SPNEGO le permite să negocieze cu ajutorul protocoalelor precum NTLM sau Kerberos.

CVE-2022-37958, o vulnerabilitate critică Windows, permitea atacatorilor să execute de la distanță codul periculos. Ei puteau face acest lucru prin accesarea protocolului NEGOEX în timp ce o țintă folosea o aplicație Windows care autentifică. Dincolo de SMB și RDP, pe lista protocoalelor afectate se numără și Simple Message Transport Protocol (SMTP) și Hyper Text Transfer Protocol (HTTP), dacă negocierea SPNEGO e activată. 

Află cum trebuie să închizi computerul Windows, de fapt – cei mai mulți utilizatori o fac greșit.

Un factor important în cazul vulnerabilității CVE-2022-37958 e că aceasta e disponibilă de 3 luni. EternalBlue, în schimb, a fost folosită de NSA drept zero-day. Această exploatare a ajuns în sistem din cauza grupului Shadow Brokers. Situația EternalBlue a fost considerată cea mai mare scurgere din istoria NSA. Faptul că a existat această perioadă în cazul CVE-2022-37958 e un semn bun pentru remedierea vulnerabilităților pe viitor, susține Palmiotti.