Vulnérabilité d’exécution de code à distance dans SPNEGO qui affecte les protocoles Windows RDP, SMB

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/047

Date de l’alerte: 15/12/2022

APERÇU :

Une vulnérabilité critique d’exécution de code à distance a été découverte dans le mécanisme de sécurité de négociation étendu SPNEGO (Simple and Protected GSS-API Negotiation Mechanism).

DESCRIPTION :

Libellé CVE-2022-37958, cette vulnérabilité a été classée comme ayant un score CVSS de 10, la cote de gravité la plus élevée possible. Microsoft a précédemment corrigé la vulnérabilité d’origine associée à cette CVE (Information Disclosure/Low) lors de son correctif cumulatif mensuel du 13 septembre 2022 et le 13 décembre 2022, l’indice de gravité a été élevé à une gravité élevée.

SPNEGO est un mécanisme de sécurité couramment utilisé dans les applications Web pour négocier les protocoles d’authentification et de sécurité qui seront utilisés pour établir des connexions sécurisées entre l’application Web et ses clients. La vulnérabilité réside dans la manière dont SPNEGO traite les demandes d’authentification spécialement conçues, ce qui peut permettre à un attaquant d’exécuter du code arbitraire sur le serveur hébergeant l’application Web vulnérable.

IMPACT :

  • Atteinte à la confidentialité ;
  • Atteinte à la disponibilité ;
  • Atteinte à l’intégrité des données.

SYSTEMES AFFECTÉS : 

  • Windows,
  • Windows Server,
  • Windows Server 2019 (Server Core installation),
  • Windows 10 Version 21H1 for x64-based Systems,
  • Windows 10 Version 21H1 for ARM64-based Systems,
  • Windows 10 Version 21H1 for 32-bit Systems,
  • Windows Server 2022,
  • Windows Server 2022 (Server Core installation),
  • Windows Server 2022 Azure Edition Core Hotpatch,
  • Windows 10 Version 20H2 for x64-based Systems,
  • Windows 10 Version 20H2 for 32-bit Systems,
  • Windows 10 Version 20H2 for ARM64-based Systems,
  • Windows 11 for x64-based Systems,
  • Windows 11 for ARM64-based Systems,
  • Windows 10 Version 21H2 for 32-bit Systems,
  • Windows 10 Version 21H2 for ARM64-based Systems,
  • Windows 10 Version 21H2 for x64-based Systems,
  • Windows Server 2016 (Server Core installation)

MESURES À PRENDRE :

Il est fortement recommandé de :

  • Mettre à jour vers les dernières versions les produits affectés
  • Examiner les services comme SMB et RDP exposés sur Internet
  • Surveiller continuellement votre surface d’attaque, y compris les serveurs Web Microsoft IIS HTTP sur lesquels l’authentification Windows est activée
  • Limiter les fournisseurs d’authentification Windows à Kerberos ou Net-NTLM

REFERENCES :

Partagez sur vos réseaux.