Esta vulnerabilidad crítica de ejecución de código en Windows pasó desapercibida durante mucho tiempo
Investigadores de seguridad descubrieron recientemente una vulnerabilidad de ejecución de código de Windows. Esta vulnerabilidad tiene el potencial de rivalizar con EternalBlue, el nombre de una vulnerabilidad de seguridad de Windows diferente utilizada para detonar WannaCry. Por si no lo recuerdas, WannaCry fue el ransomware que obligó a desactivar muchas redes informáticas en todo el mundo en 2017.
Al igual que EternalBlue, CVE-2022-37958, como se identificó esta última vulnerabilidad, permite a los atacantes ejecutar código malicioso sin necesidad de autenticación. Además, al igual que EternalBlue, es compatible con gusanos, lo que significa que un solo exploit puede desencadenar una reacción en cadena de exploits de seguimiento autorreplicantes en otros sistemas vulnerables. La capacidad de gusano de EternalBlue permitió que WannaCry y varios otros ataques se extendieran por todo el mundo en cuestión de minutos sin necesidad de interacción del usuario.
Pero a diferencia de EternalBlue, que podría explotarse cuando se usa solo SMB, o bloque de mensajes del servidor, un protocolo para compartir archivos e impresoras y actividades de red similares, esta última vulnerabilidad está presente en una gama mucho más amplia de protocolos de red. En otras palabras, esto brinda a los atacantes más flexibilidad de la que tenían al explotar la vulnerabilidad más antigua, EternalBlue.
Alcance de la vulnerabilidad
“Un atacante puede desencadenar la vulnerabilidad a través de cualquier protocolo de aplicación de Windows que autentique, como Server Message Block (SMB) o Remote Desktop Protocol (RDP), de forma predeterminada”, dijo en una entrevista Valentina Palmiotti, la investigadora de seguridad de IBM que descubrió la vulnerabilidad de ejecución de código.
“Por ejemplo, la vulnerabilidad puede activarse al intentar conectarse a un recurso compartido SMB o a través de Escritorio remoto. Algunos otros ejemplos incluyen servidores Microsoft IIS expuestos a Internet y servidores SMTP que tienen habilitada la autenticación de Windows. Por supuesto, también pueden explotarse en redes internas si no se reparan”.
Microsoft reparó CVE-2022-37958 en septiembre durante su lanzamiento mensual de correcciones de seguridad del martes de parches. Sin embargo, en ese momento, los investigadores de Microsoft creían que la vulnerabilidad solo permitía la divulgación de información potencialmente confidencial. Como tal, Microsoft le dio a la vulnerabilidad una designación de “importante”. En el curso rutinario de análisis de vulnerabilidades después de parcheadas, Palmiotti descubrió que permitía la ejecución remota de código de forma muy parecida a como lo hacía EternalBlue. La semana pasada, Microsoft cambió la designación a crítica y le otorgó una calificación de gravedad de 8.1, la misma que se le dio a EternalBlue.
CVE-2022-37958 reside en SPNEGO Extended Negotiation, un mecanismo de seguridad abreviado como NEGOEX. Este permite que un cliente y un servidor negocien los medios de autenticación. Cuando dos máquinas se conectan usando Remote Desktop, por ejemplo, SPNEGO les permite negociar el uso de protocolos de autenticación como NTLM o Kerberos.
Peligros de la vulnerabilidad
CVE-2022-37958 permite a los atacantes ejecutar código malicioso de forma remota accediendo al protocolo NEGOEX mientras un objetivo utiliza un protocolo de aplicación de Windows que se autentica. Además de SMB y RDP, la lista de protocolos afectados también puede incluir el Protocolo Simple de Transporte de Mensajes (SMTP) y el Protocolo de Transferencia de Hipertexto (HTTP) si la negociación SPNEGO está habilitada.
Un posible factor atenuante es que un parche para CVE-2022-37958 ha estado disponible durante tres meses. EternalBlue, por el contrario, fue explotado inicialmente por la NSA como un día cero. El exploit altamente sofisticado de la NSA luego fue lanzado al entorno por un grupo misterioso que se hace llamar Shadow Brokers. La filtración, una de las peores en la historia de la NSA, dio a los hackers de todo el mundo acceso a un potente exploit con alcances catastróficos.
Palmiotti dijo que hay motivos para el optimismo, pero también para el riesgo: “Mientras que EternalBlue fue un Día 0, afortunadamente este es un Día N con un plazo de entrega de parches de 3 meses”.
“Como hemos visto con otras vulnerabilidades importantes a lo largo de los años, como MS17-010 que se explotó con EternalBlue, algunas organizaciones han tardado en implementar parches durante varios meses o carecen de un inventario preciso de los sistemas expuestos a Internet y pierden los sistemas de parches por completo.”
Recomendaciones
Debido al uso generalizado de SPNEGO, los investigadores recomiendan enfáticamente que los usuarios y administradores apliquen el parche de inmediato para protegerse contra todos los posibles vectores de ataque. La solución está incluida en las actualizaciones de seguridad de septiembre de 2022 y afecta a todos los sistemas Windows 7 y posteriores.
Entre las recomendaciones adicionales que los administradores de red deben seguir podemos mencionar las siguientes:
- Revisar qué servicios, como SMB y RDP, están expuestos a Internet.
- Monitorear continuamente su superficie de ataque, incluidos los servidores web HTTP de Microsoft IIS que tienen habilitada la autenticación de Windows.
- Limitar los proveedores de autenticación de Windows a Kerberos o Net-NTLM y eliminar “Negociar” como proveedor predeterminado si no se puede aplicar el parche.
