A settembre 2022, su indicazione di Valentina Palmiotti, ricercatrice di IBM X-Force Red, i tecnici Microsoft avevano provveduto a risolvere un problema di sicurezza presente in tutte le versioni di Windows (identificativo CVE-2022-37958). Tre mesi fa il problema di sicurezza era stato semplicemente classificato come “importante” perché si riteneva permettesse soltanto la potenziale condivisione di informazioni personali.
In realtà la vulnerabilità in questione permette l’esecuzione di codice potenzialmente dannoso in modalità remota. Se n’è accorta la stessa Palmiotti negli ultimi giorni approfondendo i suoi test e comunicando le conclusioni della sua ricerca a Microsoft.
Dopo aver verificato le asserzioni della ricercatrice, Microsoft ha modificato il bollettino di sicurezza legato alla falla CVE-2022-37958 confermando che il bug in questione può portare ad attacchi da remoto, attraverso la rete. Così la vulnerabilità è diventata critica.
La falla risiede in SPNEGO Extended Negotiation, un meccanismo di sicurezza conosciuto anche come NEGOEX che consente a un client e un server di negoziare il sistema di autenticazione da usare. Quando due dispositivi si connettono utilizzando Desktop remoto, ad esempio, SPNEGO consente loro di negoziare l’uso di protocolli di autenticazione come NTLM o Kerberos.
Diversamente rispetto alla storica falla EternalBlue, che attaccava i sistemi vulnerabili facendo leva su una falla insita nel protocollo SMB (e che è stata utilizzata da WannaCry per diffondersi molto rapidamente), il problema rilevato in SPNEGO può essere sfruttato utilizzando molteplici servizi: SMB ma anche buona parte delle funzionalità serve che Windows può offrire (server di Desktop remoto, SMTP, IIS,…).
Come osserva Palmiotti, mentre EternalBlue era uno zero-day (peraltro inizialmente sfruttato dalla NSA statunitense, aggiungiamo noi), il problema relativo a NEGOEX è stato già corretto tre mesi fa, durante il patch day Microsoft di settembre 2022.
Il suggerimento è quello di verificare che gli aggiornamenti indicati in questa pagina all’interno della colonna Article siano stati correttamente installati.
Si può verificarlo premendo Windows+R
, digitando appwiz.cpl
, cliccando su Visualizza aggiornamenti installati e infine controllando che il numero al di sotto di Article per il sistema operativo in uso sia presente nella lista delle patch già installate.
In alternativa si può aprire una finestra PowerShell quindi digitare Get-Hotfix
.
Si può ad esempio scrivere Get-Hotfix findstr
seguito dal codice rilevato nella colonna Article.
Dei pacchetti indicati nella colonna Article, uno corrisponde all’aggiornamento cumulativo (Monthly Rollup), l’altro alla singola patch (Security Only): per proteggere ciascun sistema basta installare o aver installato uno dei due.