Les chercheurs ont récemment découvert une vulnérabilité d’exécution de code Windows qui a le potentiel de rivaliser avec EternalBlue, le nom d’une autre faille de sécurité Windows utilisée pour faire exploser WannaCry, le rançongiciel qui a fermé les réseaux informatiques à travers le monde en 2017.
Comme EternalBlue, CVE-2022-37958, car la dernière vulnérabilité est suivie, permet aux attaquants d’exécuter du code malveillant sans authentification requise. De plus, comme EternalBlue, il est vermifuge, ce qui signifie qu’un seul exploit peut déclencher une réaction en chaîne d’exploits de suivi auto-réplicatifs sur d’autres systèmes vulnérables. La wormability d’EternalBlue a permis à WannaCry et à plusieurs autres attaques de se propager à travers le monde en quelques minutes sans aucune interaction de l’utilisateur.
Mais contrairement à EternalBlue, qui pourrait être exploité en utilisant uniquement SMB, ou bloc de messages serveur, un protocole de partage de fichiers et d’imprimantes et d’activités réseau similaires, cette dernière vulnérabilité est présente dans une gamme beaucoup plus large de protocoles réseau, offrant aux attaquants plus de flexibilité que qu’ils avaient lors de l’exploitation de l’ancienne vulnérabilité.
“Un attaquant peut déclencher la vulnérabilité via n’importe quel protocole d’application Windows qui s’authentifie”, a déclaré Valentina Palmiotti, la chercheuse en sécurité d’IBM qui a découvert la vulnérabilité d’exécution de code, dans une interview. « Par exemple, la vulnérabilité peut être déclenchée en essayant de se connecter à un partage SMB ou via Remote Desktop. D’autres exemples incluent les serveurs Microsoft IIS exposés à Internet et les serveurs SMTP sur lesquels l’authentification Windows est activée. Bien sûr, ils peuvent également être exploités sur les réseaux internes s’ils ne sont pas corrigés.
Microsoft a corrigé CVE-2022-37958 en septembre lors de son déploiement mensuel de correctifs de sécurité le mardi des correctifs. À l’époque, cependant, les chercheurs de Microsoft pensaient que la vulnérabilité ne permettait que la divulgation d’informations potentiellement sensibles. En tant que tel, Microsoft a attribué à la vulnérabilité une désignation “importante”. Au cours de l’analyse de routine des vulnérabilités après qu’elles aient été corrigées, Palmiotti a découvert que cela permettait l’exécution de code à distance de la même manière qu’EternalBlue. La semaine dernière, Microsoft a révisé la désignation en critique et lui a attribué une cote de gravité de 8,1, la même que celle donnée à EternalBlue.
Publicité
CVE-2022-37958 réside dans la négociation étendue SPNEGO, un mécanisme de sécurité abrégé en NEGOEX qui permet à un client et à un serveur de négocier les moyens d’authentification. Lorsque deux machines se connectent à l’aide de Remote Desktop, par exemple, SPNEGO leur permet de négocier l’utilisation de protocoles d’authentification tels que NTLM ou Kerberos.
CVE-2022-37958 permet aux attaquants d’exécuter à distance du code malveillant en accédant au protocole NEGOEX alors qu’une cible utilise un protocole d’application Windows qui s’authentifie. Outre SMB et RDP, la liste des protocoles concernés peut également inclure le protocole SMTP (Simple Message Transport Protocol) et le protocole HTTP (Hyper Text Transfer Protocol) si la négociation SPNEGO est activée.
Un facteur potentiellement atténuant est qu’un correctif pour CVE-2022-37958 est disponible depuis trois mois. EternalBlue, en revanche, a été initialement exploité par la NSA comme un zero-day. L’exploit hautement armé de la NSA a ensuite été relâché dans la nature par un groupe mystérieux se faisant appeler Shadow Brokers. La fuite, l’une des pires de l’histoire de la NSA, a donné aux pirates du monde entier l’accès à un puissant exploit de niveau national.
Palmiotti a déclaré qu’il y avait des raisons d’être optimiste mais aussi de prendre des risques : “Alors qu’EternalBlue était un 0-Day, heureusement, c’est un N-Day avec un délai de mise à jour de 3 mois”, a déclaré Palmiotti. “Comme nous l’avons vu avec d’autres vulnérabilités majeures au fil des ans, telles que MS17-010 qui a été exploitée avec EternalBlue, certaines organisations tardent à déployer des correctifs depuis plusieurs mois ou manquent d’un inventaire précis des systèmes exposés à Internet et manquent des systèmes de correctifs. tout à fait.”
