Los investigadores de IBM acaban de descubrir que CVE-2022-37958, un problema relacionado con el mecanismo de seguridad SPNEGO Extended Negotiation (NEGOEX), ha sido calificado como muy crítico por Microsoft y tiene el potencial de rivalizar con EternalBlue, el nombre de otra falla de seguridad de Windows utilizada para desencadenar WannaCry, uno de los ataques más peligrosos de la historia.

“La vulnerabilidad podría permitir a los atacantes ejecutar código arbitrario de forma remota accediendo al protocolo NEGOEX a través de cualquier protocolo de aplicación de autenticación de Windows, como Server Message Block (SMB) o Remote Desktop Protocol (RDP), de forma predeterminada”.explica IBM en una publicación de blog.

El principal problema es que Inicialmente, en septiembre, cuando se lanzó un parche para solucionarlo, se marcó como “importante”.

Sin embargo, ahora se ha descubierto que permitía la ejecución remota de código de la misma manera que lo hizo EternalBlue, por lo que su estado ha cambiado a “crítico”. Además, se ha señalado que tiene un alcance más amplio y podría afectar a más sistemas debido a la mayor superficie de ataque de los servicios expuestos en redes internas o en Internet.

El nuevo exploit de Microsoft obtiene la misma calificación que EternalBlue: crítico

Para aquellos que no están familiarizados con lo que es EternalBlue, es un exploit de Windows creado por la Agencia de Seguridad Nacional de EE. UU. (NSA) y utilizado en el ataque de ransomware WannaCry de 2017.

Esto aprovecha un vulnerabilidad en la implementación de Microsoft del protocolo SMB (Server Message Block). engañar a una máquina ventanas que la vulnerabilidad para permitir paquetes de datos ilegítimos en la red legítima no ha sido reparada. Estos paquetes de datos pueden contener malware como caballos de Troya, ransomware o programas peligrosos similares.

La NSA no alertó microsoft de la existencia de EternalBlue por un período de cinco años, hasta que una violación de la NSA obligó a la agencia a hacerlo. Microsoft culpa a la agencia de la existencia de EternalBlue y sus consecuencias, a pesar de que se basa en lo que entonces era una vulnerabilidad en Windows (versiones 7 y 10).

Respecto a esta novedad, IBM ha indicado, no obstante, que el exploit puede requerir varios intentos. Microsoft también señaló en su notificación que “La explotación exitosa de esta vulnerabilidad requiere que un atacante prepare el entorno de destino para mejorar la confiabilidad del entorno de destino”.

IBM también confirma que los detalles técnicos completos sobre CVE-2022-37958 no se harán públicos hasta el segundo trimestre de 2023 para dar a los defensores tiempo suficiente para instalar los parches.