吳明宜微軟本周將一個之前風險被低估的重大漏洞,改列「重大」。安全研究人員則呼籲用戶應儘速安裝更新版 Windows 以免遭駭客於遠端執行程式碼。
編號 CVE-2022-37958 原先微軟列為資訊洩露漏洞,影響 Windows 的 SPNEGO Extended Negotiation (NEGOEX) 安全機制。至於 NEGOEX 則是 RFC4178 描述的 Simple and Protected GSS-API Negotiation(SPNEGO) 的延伸。 NEGOEX 安全機制讓用戶端和伺服器可協調出適用的安全機制。
CVE-2022-37958 原先被列為「重要」風險,因為攻擊者必須要先準備好目標環境,才能成功發動攻擊。但是隨著 IBM Security X-Force 研究人員揭露其風險後,微軟改列為「重大」。
IBM 研究人員表示,它是一個前驗證的遠端程式碼執行漏洞,性質類似 2017 年被 EthernalBlue 攻擊程式攻擊的 CVE-2017-0144 。後者因而又被稱 EternalBlue 漏洞,因 2017 年的 WannyCry 蠕蟲攻擊而聲名大噪。
Demonstrating CVE-2022-37958 RCE Vuln. Reachable via any Windows application protocol that authenticates. Yes, that means RDP, SMB and many more. Please patch this one, it’s serious! https://t.co/ikOrTvQIJs pic.twitter.com/bOTmL5Fh2H
— chompie (@chompie1337) December 13, 2022
但研究人員表示,新漏洞比 CVE-2017-0144 更危險,因為前者只影響 SMB 協定,但 CVE-2022-37958 可讓攻擊者透過多種驗證用的 Windows 應用程式協定,如 SMB (Server Message Block) 或 RDP (Remote Desktop Protocol) 、 SMTP 、 HTTP 、或是 Kerberos 或 Net-NTLM,藉由存取 NEGOEX 協定以執行遠端任意程式碼 。重點是,過程中不需使用者互動或驗證,就能感染 Windows 電腦。
微軟已在 9 月的 Patch Tuesday 修補了 CVE-2022-37958 。不過 IBM 研究人員並未說明細節,表示為了給企業更多時間安裝修補程式,他們會在 2023 年第 2 季才公佈技術細節。