CVE-2022-37958: vulnerabilità 0-day individuata su Windows consente l’esecuzione di codice da remoto. Un livello di gravità pari a EternalBlue.
La 0-day CVE-2022-37958
I ricercatori IBM hanno individuato e analizzato una vulnerabilità fino a quel momento sconosciuta su Windows. L’ID della vulnerabilità è CVE-2022-37958 e consente l’esecuzione di codice remoto senza alcuna autorizzazione. Come se non bastasse, un exploit su questa vulnerabilità può innescare una reazione a catena di exploit, dato che ha la capacità di replicarsi su altri sistemi vulnerabili, proprio a mò di Worm.
Individuata a Settembre, va detto che è già stata risolta. Microsoft ne ha reso disponibile la patch nel Patch Tuesday di Settembre. Quindi procedere all’installazione degli update più recenti metterà al sicuro il sistema dal rischio di exploit.
Microsoft ne ha sottovalutato la gravità
Il motivo per il quale le notizie riguardo questa vulnerabilità stanno circolando più adesso che nel mese di settembre è che Microsoft, inizialmente, non l’ha ritenuta così grave. In una prima valutazione infatti sembrava che la CVE-2022-37958 consentisse “solo” l’esfiltrazione di informazioni sensibili dai sistemi exploitati. Infatti la prima valutazione la classificava come vulnerabilità di severità “HIGH”, con un punteggio di 7.5.
Il team IBM però ha proceduto nell’analisi, ricostruendo un profilo di pericolosità ben diverso. La CVE-2022-37958 consente:
- consente l’esecuzione di codice da remoto non autorizzato
- non necessita di alcuna interazione da parte dell’utente
- ha meccanismi di propagazione paragonabili a quelle di un worm.
Alla luce di queste novità Microsoft ha rivalutato la CVE-2022-37958 e gli ha assegnato un punteggio di 8.1.
Si, se a qualcuno questo elenco ricorda qualcosa, non sta sbagliando. E’ esattamente la descrizione base dei rischi comportati da EternalBlue, l’ormai famigerata vulnerabilità del protocollo SMB che consentì (nonostante la patch disponbile) la diffusione repentina e a livello mondiale del ransomware WannaCry. Con la CVE-2022-37958: EternalBlue condivide anche il punteggio di gravità: 8.1.
C’è una grande differenza, però, con EternalBlue: la CVE-2022-37958 non si trova solo nel protocollo SMB, ma in una grande quantità di protocolli (RDP, SMTP, HTTP). Vediamo qualche dettaglio tecnico
CVE-2022-37958: dettagli tecnici
Per quanto ricostruito, la CVE-2022-37958 affligge SPNEGO Extended Negotiation. Questo è un meccanismo di sicurezza che consente ad un client ed un server di stabilire (negoziare) i mezzi di autenticazione. SPNEGO si attiva quando si usano protocollo RDP ma anche protocolli di autenticazione come NTLM.
La CVE-2022-37958 consente ad un attaccante di eseguire codice remoto non autorizzato grazie all’accesso a SPNEGO mentre il servizio usa un protocollo di autenticazione.
Ora non resta null’altro da fare che installare la patch di sicurezza rilasciata da Microsoft. Evitando, se possibile, di far vivere troppo a lungo questa falla. La mancanza di attenzione al patching dei sistemi e dei software è stata la base che ha permesso una longeva vita a EternalBlue, data la grande quantità di sistemi vulnerabili anche dopo molto tempo dal rilascio della patch.
Per saperne di più > Il ransomware WannaCry e l’exploit EternalBlue ancora in attività: sono davvero eterni?
