محققان امنیت سایبری یک آسیبپذیری از نوع اجرای کد از راه دور در سیستم عامل ویندوز کشف کردهاند که میتوان آن را با آسیبپذیری EternalBlue که منجر به انتشار گسترده باجافزار WannaCry شد مقایسه نمود. باجافزار WannaCry در سال 2017 باعث از دسترس خارج شدن بسیاری از شبکهها در سرتاسر جهان شد. این آسیبپذیری جدید که شناسه CVE-2022-37958 را به خود اختصاص داده، به مهاجمان اجازه میدهد دستورات دلخواه خود را بدون نیاز به تصدیق هویت بر روی سیستم هدف انجام دهند.
این آسیبپذیری wormable است یعنی یک کد اکسپلویت میتواند یک واکنش زنجیرهای ایجاد کند و یک سیستم آلوده میتواند سایر سیستمهای متصل به شبکه را آلوده کند. wormable بودن به آسیبپذیری EternalBlue اجازه میدهد، باجافزار WannaCry و چندین حمله دیگر بتوانند در مدت چند دقیقه بدون نیاز به تعامل کاربران در جهان منتشر شوند.
بر خلاف EternalBlue که تنها میتوانست از طریق پروتکل SMB مورد بهرهبرداری قرار گیرد، آسیبپذیری جدید کشف شده در طیف وسیعتری از پروتکلهای شبکه وجود دارد و گزینههای زیادی را پیش روی مهاجمان قرار میدهد. یک مهاجم میتواند از طریق هریک از پروتکلهای برنامه کاربردی ویندوز که تصدیق هویت انجام میدهد، از این آسیبپذیری بهرهبرداری کند. محقق امنیت سایبری شرکت IBM که این آسیبپذیری را کشف کرده در یک مصاحبه اعلام کرد که به عنوان مثال میتوان موقع تلاش برای اتصال از طریق SMB share یا Remote Desktop از این آسیبپذیری بهرهبرداری کرد و یا سرورهای IIS مایکروسافت و SMTP که تصدیق هویت ویندوز بر روی آنها فعال است نیز امکان بهرهبرداری را برای مهاجم فراهم میکنند.
مایکروسافت این آسیبپذیری که شناسه CVE-2022-37958 به آن اختصاص داده شده است را در ماه سپتامبر 2022 در قالب یک بهروزرسانی امنیتی برطرف نمود. در آن زمان تنها امکان افشای اطلاعات به کمک این آسیبپذیری کشف شده بود و مایکروسافت درجه این آسیبپذیری را بالا اعلام کرده بود، اما پس از کشف امکان اجرای کد از راه دور توسط محققان امنیت سایبری، مایکروسافت درجه آسیبپذیری را به 8.1 طبق سیستم CVSS 3.1 و از نوع بحرانی اصلاح کرد. درجه Exploit Complexity بالا است و اجرای موفق حمله ممکن است به چند بار تلاش نیاز داشته باشد.
این آسیبپذیری در SPNEGO Extended Negotiation که یک نوع مکانیزم امنیتی است وجود دارد که به اختصار NEGOEX خوانده میشود و به یک کلاینت و سرور اجازه میدهد بر روی روش تصدیق هویت به توافق برسند. به عنوان مثال وقتی دو ماشین از طریق Remote Desktop به یکدیگر متصل میشوند SPNEGO به آنها اجازه میدهد بر روی پروتکلهای تصدیق هویت مثل NTLM یا Kerberos به توافق برسند. بر خلاف آسیبپذیری EternalBlue که از نوع Zero-day بود و ابتدا توسط NSA مورد سوء استفاده قرار گرفت و بعداً توسط گروهی به نام Shadow Brokers افشاء گردید، این آسیبپذیری از نوع N-Day بوده و سه ماه پیش در قالب بهروزرسانیهای امنیتی مایکروسافت برطرف شده است.
توصیههای امنیتی
توصیه میشود که کلیه مدیران سیستم و کاربران خانگی برای محافظت در برابر هرگونه بردارهای حمله احتمالی، هرچه سریعتر نسبت به بهروزرسانی سیستم عامل خود اقدام نمایند. به روزرسانی امنیتی در ماه سپتامبر 2022 منتشر شده و کلیه سیستم عاملهای ویندوزی جدیدتر از ویندوز 7 آسیبپذیر بودهاند. محققان به دلیل جلوگیری از سوء استفاده احتمالاً جزئیات بیشتر این آسیبپذیری را تا نیمه دوم سال 2023 منتشر نخواهند کرد.
منابع خبر
https://thehackernews.com/2022/12/microsoft-reclassifies-spnego-extended.html
https://gbhackers.com/windows-code-execution-flaw/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37958
https://arstechnica.com/information-technology/2022/12/critical-windows-code-execution-vulnerabilit…
https://securityaffairs.co/wordpress/139709/hacking/microsoft-revised-cve-2022-37958-rate.html
https://securityintelligence.com/posts/critical-remote-code-execution-vulnerability-spnego-extended…
- 238