Los investigadores descubrieron recientemente una vulnerabilidad de ejecución de código de Windows que tiene el potencial de rivalizar con EternalBlue, el nombre de una falla de seguridad de Windows diferente utilizada para detonar WannaCry, el ransomware que cerró las redes informáticas en todo el mundo en 2017.
Al igual que EternalBlue, CVE-2022-37958, como se rastrea la última vulnerabilidad, permite a los atacantes ejecutar código malicioso sin necesidad de autenticación. Además, al igual que EternalBlue, es compatible con gusanos, lo que significa que un solo exploit puede desencadenar una reacción en cadena de exploits de seguimiento autorreplicantes en otros sistemas vulnerables. La capacidad de gusano de EternalBlue permitió que WannaCry y varios otros ataques se extendieran por todo el mundo en cuestión de minutos sin necesidad de interacción del usuario.
Pero a diferencia de EternalBlue, que podría explotarse cuando se usa solo SMB, o bloque de mensajes del servidor, un protocolo para compartir archivos e impresoras y actividades de red similares, esta última vulnerabilidad está presente en una gama mucho más amplia de protocolos de red, lo que brinda a los atacantes más flexibilidad que tenían al explotar la vulnerabilidad más antigua.
“Un atacante puede desencadenar la vulnerabilidad a través de cualquier protocolo de aplicación de Windows que autentique”, dijo en una entrevista Valentina Palmiotti, la investigadora de seguridad de IBM que descubrió la vulnerabilidad de ejecución de código. “Por ejemplo, la vulnerabilidad puede activarse al intentar conectarse a un recurso compartido SMB oa través de Escritorio remoto. Algunos otros ejemplos incluyen servidores Microsoft IIS expuestos a Internet y servidores SMTP que tienen habilitada la autenticación de Windows. Por supuesto, también pueden explotarse en redes internas si no se reparan”.
Microsoft arregló CVE-2022-37958 en septiembre durante su lanzamiento mensual de correcciones de seguridad del martes de parches. Sin embargo, en ese momento, los investigadores de Microsoft creían que la vulnerabilidad solo permitía la divulgación de información potencialmente confidencial. Como tal, Microsoft le dio a la vulnerabilidad una designación de “importante”. En el curso rutinario de análisis de vulnerabilidades después de parcheadas, Palmiotti descubrió que permitía la ejecución remota de código de forma muy parecida a como lo hacía EternalBlue. La semana pasada, Microsoft revisó la designación a crítica y le otorgó una calificación de gravedad de 8.1, la misma que se le dio a EternalBlue.
CVE-2022-37958 reside en SPNEGO Extended Negotiation, un mecanismo de seguridad abreviado como NEGOEX que permite que un cliente y un servidor negocien los medios de autenticación. Cuando dos máquinas se conectan usando Remote Desktop, por ejemplo, SPNEGO les permite negociar el uso de protocolos de autenticación como NTLM o Kerberos.
CVE-2022-37958 permite a los atacantes ejecutar código malicioso de forma remota accediendo al protocolo NEGOEX mientras un objetivo utiliza un protocolo de aplicación de Windows que se autentica. Además de SMB y RDP, la lista de protocolos afectados también puede incluir el Protocolo simple de transporte de mensajes (SMTP) y el Protocolo de transferencia de hipertexto (HTTP) si la negociación SPNEGO está habilitada.
Un posible factor atenuante es que un parche para CVE-2022-37958 ha estado disponible durante tres meses. EternalBlue, por el contrario, fue explotado inicialmente por la NSA como un día cero. El exploit altamente armado de la NSA luego fue lanzado a la naturaleza por un grupo misterioso que se hace llamar Shadow Brokers. La filtración, una de las peores en la historia de la NSA, dio a los piratas informáticos de todo el mundo acceso a un potente exploit de nivel nacional.
Palmiotti dijo que hay motivos para el optimismo, pero también para el riesgo: “Mientras que EternalBlue fue un Día 0, afortunadamente este es un Día N con un plazo de entrega de parches de 3 meses”, dijo Palmiotti. “Como hemos visto con otras vulnerabilidades importantes a lo largo de los años, como MS17-010 que se explotó con EternalBlue, algunas organizaciones han tardado en implementar parches durante varios meses o carecen de un inventario preciso de los sistemas expuestos a Internet y pierden parchear los sistemas. en total.”