研究人员最近发现了一个 Windows 代码执行漏洞,它有可能与 EternalBlue 相媲美,EternalBlue 是用于引爆 WannaCry 的另一个 Windows 安全漏洞的名称,WannaCry 是 2017 年关闭全球计算机网络的勒索软件。
与 EternalBlue 一样,CVE-2022-37958 作为最新的漏洞被跟踪,允许攻击者在不需要身份验证的情况下执行恶意代码。此外,与 EternalBlue 一样,它是可蠕虫攻击的,这意味着单个漏洞利用可以在其他易受攻击的系统上触发自我复制的后续漏洞利用的连锁反应。EternalBlue 的蠕虫能力使 WannaCry 和其他几种攻击能够在几分钟内传播到世界各地,而无需用户交互。
但与仅使用 SMB 或服务器消息块(一种用于文件和打印机共享以及类似网络活动的协议)时可能被利用的永恒之蓝不同,这个最新的漏洞存在于范围更广的网络协议中,为攻击者提供了比他们在利用旧漏洞时遇到过。
“攻击者可以通过任何经过身份验证的 Windows 应用程序协议触发该漏洞,”发现代码执行漏洞的 IBM 安全研究员 Valentina Palmiotti 在接受采访时说。“例如,可以通过尝试连接到 SMB 共享或通过远程桌面来触发该漏洞。其他一些示例包括 Internet 公开的 Microsoft IIS 服务器和启用了 Windows 身份验证的 SMTP 服务器。当然,如果不打补丁,它们也可以在内部网络上被利用。”
微软在 9 月的月度补丁星期二推出安全修复程序期间修复了 CVE-2022-37958。然而,当时微软研究人员认为该漏洞只允许泄露潜在的敏感信息。因此,Microsoft 将该漏洞标记为“重要”。在修复漏洞后分析漏洞的例行过程中,Palmiotti 发现它允许远程代码执行,就像 EternalBlue 所做的那样。上周,微软将名称修改为严重,并将其严重等级定为 8.1,与 EternalBlue 的等级相同。
CVE-2022-37958 存在于 SPNEGO 扩展协商中,这是一种缩写为 NEGOEX 的安全机制,允许客户端和服务器协商身份验证方式。例如,当两台机器使用远程桌面连接时,SPNEGO 允许它们协商使用 NTLM 或 Kerberos 等身份验证协议。
CVE-2022-37958 允许攻击者在目标使用 Windows 应用程序协议进行身份验证时访问 NEGOEX 协议来远程执行恶意代码。除了 SMB 和 RDP,如果启用 SPNEGO 协商,受影响的协议列表还可以包括简单消息传输协议 (SMTP) 和超文本传输协议 (HTTP)。
一个潜在的缓解因素是 CVE-2022-37958 的补丁已经发布了三个月。相比之下,EternalBlue 最初被美国国家安全局用作零日漏洞。美国国家安全局高度武器化的漏洞随后被一个自称为影子经纪人的神秘组织释放到野外。这次泄密事件是美国国家安全局历史上最严重的泄密事件之一,让世界各地的黑客都能利用强大的民族国家级漏洞。
Palmiotti 说,有乐观的理由,但也有风险:“虽然 EternalBlue 是一个 0-Day,但幸运的是这是一个 N-Day,有 3 个月的补丁准备时间,”Palmiotti 说。“正如我们多年来在其他主要漏洞中看到的那样,例如被永恒之蓝利用的 MS17-010,一些组织几个月来一直在缓慢部署补丁,或者缺乏准确的暴露在互联网上的系统清单并错过修补系统共。”