Microsoft Reclassifies SPNEGO Extended Negotiation Security Vulnerability as ‘Critical’
2022/12/15 TheHackerNews — Microsoft は、2022年9月にパッチ適用したセキュリティ脆弱性について、リモートコード実行に悪用される可能性があると判明したことで、深刻度を Critical に修正した。この脆弱性 CVE-2022-37958 (CVSS : 8.1) は、SPNEGO Extended Negotiation (NEGOEX) Security Mechanism における情報漏洩の脆弱性であると、これまでは説明されてきた。
SPNEGO とは Simple and Protected GSSAPI Negotiation Mechanism の略であり、クライアントとリモートサーバが認証に使用するプロトコル (Kerberos/NTLM など) の選択において、合意に至るためのスキームのことである。
IBM Security X-Force の研究者である Valentina Palmiotti が、この欠陥の詳細を分析したところ、リモートで任意のコード実行にいたることが判明し、Microsoft は深刻度の再検討を促されることになった。
今週に IBM は、「この脆弱性は、幅広いプロトコルに影響を与える認証前のリモートコード実行の脆弱性であり、ワーム化する可能性がある」と指摘している。
この脆弱性により、HTTP/SMB/RDP などの認証を行う、各種の Windows アプリケーション・プロトコルを介して、リモートコード実行を生じる可能性があるという。この問題の重要性を考慮した IBM は、組織が修正プログラムを適用するのに十分な時間を与えるために、2023年 Q2 までは技術的な詳細の公表を控えると述べている。
Microsoft は、「この脆弱性の悪用を成功させる攻撃者は、攻撃の確率を高めるために、ターゲット環境を準備する必要がある」と、更新されたアドバイザリで注意を促している。
その一方で IBM は、「EternalBlue により悪用され、WannaCry ランサムウェア攻撃に使用された、SMB プロトコルだけに影響を与える脆弱性 CVE-2017-0144 とは異なり、この脆弱性が影響を及ぼす範囲は広い。パブリックなインターネット (HTTP/RDP/SMB) から、内部ネットワークに露出したサービスにいたるまで、その攻撃対象が拡大するため、より広範囲の Windows システムに影響を与える可能性がある」と指摘している。
この、9月の月例アップデートで対応された、脆弱性 CVE-2022-37958 ですが、お隣のキュレーション・チームに確認したところ、たしかに情報漏えいとして分類され、これまでの CVSS 値は 5.5 だったそうです。IBM が指摘するように、HTTP/SMB/RDP などの認証を行う、各種の Windows アプリケーション・プロトコルに関連する、深刻な脆弱性が判明したようでね。また、脆弱性 CVE-2017-0144 は、2017年3月15日にレポートされており、CVSS 値は 8.1 とのことです。
IoT OT Security News 
You must be logged in to post a comment.