SPNEGO NEGOEX:现代微软Windows操作系统中的关键预认证RCE漏洞(CVE-2022-37958)
作者:Kudelski安全威胁检测与研究团队的Mark Stueck
2022年12月14日 KS威胁研究安全公告
摘要
12月13日星期二,微软将先前已确认的SPNEGO扩展协商安全机制(NEGOEX)中的信息泄露漏洞(CVE-2022-37958)重新分类为关键(8.1),原因是IBM Security X-Force的安全研究人员发现该漏洞还可导致预认证远程代码执行(RCE)。NEGOEX旨在允许客户端和服务器协商使用哪些安全机制。
由于简单和受保护的GSSAPI协商机制(SPNEGO)被广泛用于协商各种微软Windows服务的认证机制,此漏洞的影响范围令人高度关注。攻击者可能通过任何现有的用于认证的微软应用协议(如SMB、RDP,甚至启用了Windows认证的IIS HTTP Web服务器)利用NEGOEX协议执行任意代码。
由于依赖SPNEGO认证协商,其他协议(如SMTP)也可能受此漏洞影响。研究还表明,CVE-2022-37958可能是“可蠕虫化的”,意味着它不需要用户交互或对目标系统的认证。这使面向公众的服务和内部网络面临更高的利用和入侵风险。
微软于2022年9月发布了CVE-2022-37958的补丁,尽管IBM Security X-Force的最新发现和微软的重新分类,该补丁仍是受支持和建议的解决方案:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37958
由于此漏洞可能被利用和滥用(包括其“可蠕虫化”的特性),Kudelski安全强烈建议组织验证并应用微软2022年9月的补丁,以尽快妥善缓解此漏洞。虽然目前没有公开的概念验证(PoC)利用代码,但Kudelski安全预计威胁行为者将在未来几周内尝试滥用。
技术细节
星期二晚上(UTC),X-Force安全研究人员在Twitter上发布了一段概念验证(PoC)视频(https://twitter.com/chompie1337/status/1602757336908660736?s=20&t=Bwn3jV5oeB4kqamoFxptKQ),显示似乎成功利用了CVE-2022-37958攻击Windows 10系统,导致LSA服务崩溃。
IBM Security X-Force实验室的安全研究人员目前正在保护PoC代码、脚本和相关输出的详细信息,以便组织的安全和网络团队有足够的时间打补丁。
受影响系统和/或应用
SPNEGO是许多应用中常见的基于Windows的应用认证协议协商系统。因此,如果使用SPNEGO协议认证协商,大量Windows产品可能直接受影响:
- Windows Server 2012 R2 & Server core
- Windows Server 2012 & Server Core
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 & Server Core
- Windows RT 8.1
- Windows 8.1 for x64-based & 32-bit systems
- Windows 7 for x64-based & 32-bit Systems (Service Pack 1)
- Windows Server 2016 & Server Core
- Windows 10 Version 1607 for x64-based & 32-bit Systems
- Windows 10 for x64-based & 32-bit Systems
- Windows 10 Version 21H2 for 32-bit, x64-based, and ARM64-based Systems
- Windows 11 for x64-based & ARM64-based Systems
- Windows 10 Version 20H2 for 32-bit, x64-based, and ARM64-based Systems
- Windows Server 2022 Datacenter: Azure Edition
- Windows Server 2022 & Server Core
- Windows 10 Version 21H1 for 32-bit, x64-based, and ARM64-based systems
- Windows Server 2019 & Server Core
- Windows 10 Version 1809 for 32-bit, x64-based, and ARM64-based Systems
威胁行为者利用后活动
成功利用此漏洞进行远程代码执行可以使用户以“SYSTEM”权限访问Windows计算机,使攻击者能够部署恶意植入物和利用后工具。攻击者还可能尝试制作利用此漏洞传播的“蠕虫”。
解决方案
微软于2022年9月13日发布的安全更新仍然有效缓解易受攻击系统中的此问题。Kudelski安全建议尽快识别、验证和实施受影响系统的安全更新。
详细图表指示应根据受影响产品应用哪些知识库,可在此处找到:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37958
对于使用Nessus / Tenable的客户,以下插件可用于识别系统是否已为SPNEGO NEGOEX(CVE-2022-37958)打补丁:https://www.tenable.com/plugins/search?q=”CVE-2022-37958”
临时解决方法和缓解措施
在发布更多关于概念验证(PoC)利用或检测可观察信息之前,打补丁仍是Kudelski安全最有效和推荐的解决方案。然而,可以采取一些额外步骤来在打补丁过程中减少和缓解风险:
- 审查任何面向公众的服务,如RDP和SMB、IIS(带有Windows认证),并确保远程连接需要强且唯一的密码。根据安全最佳实践定期更改和更新这些凭据。
- 如果可能,调整Windows认证配置以将认证限制为Kerberos或Net-NTLM(尽管应强烈首选Kerberos),并移除“Negotiate”作为默认提供程序。
检测指南
希望检测潜在利用的组织应考虑查找过多的协商协议请求(可能作为堆整理的一部分)以及可能的lsass.exe进程崩溃 – 生成ID为5000且提供程序名为“LsaSrv”的Windows事件。
Kudelski安全感谢IBM X-Force Red的Valentina Palmiotti在调查潜在检测方法方面的协助和合作。
网络融合中心正在做什么
CFC正在创建威胁狩猎活动,旨在使用内部查询和方法识别此漏洞的成功利用,这些方法源自事件响应参与中观察到的类似活动。
CFC还与我们的漏洞扫描合作伙伴协调,部署能够识别未打补丁系统和易受CVE-2022-37958影响的资产的插件。一旦可用,拥有CFC漏洞扫描服务的组织将能够使用扫描结果进行验证。
来源
- https://securityintelligence.com/posts/critical-remote-code-execution-vulnerability-spnego-extended-negotiation-security-mechanism/
- https://redpiranha.net/news/critical-remote-code-execution-spnego-cve-2022-37958-effects-windows-protocols-rdp-and-smb
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37958
- https://support.microsoft.com/en-us/topic/september-13-2022-kb5017308-os-builds-19042-2006-19043-2006-and-19044-2006-e4ea187e-28e8-4d4b-808b-2794babdce4c
- https://nvd.nist.gov/vuln/detail/CVE-2022-37958