Una vulnerabilidad crítica de Windows no detectada hasta ahora podría traer graves problemas en 2023
Microsoft ha calificado como "crítica" una nueva vulnerabilidad de Windows, advirtiendo de que puede explotarse para la ejecución remota de código.
Investigadores de IBM acaban de descubrir que CVE-2022-37958, un problema relacionado con el mecanismo de seguridad SPNEGO Extended Negotiation (NEGOEX), ha sido calificado como altamente crítico por Microsoft y que tiene el potencial de rivalizar con EternalBlue, el nombre de otro fallo de seguridad de Windows utilizado para detonar WannaCry, uno de los ataques más peligrosos de la historia.
"La vulnerabilidad podría permitir a los atacantes ejecutar remotamente código arbitrario accediendo al protocolo NEGOEX a través de cualquier protocolo de aplicación de Windows que se autentique, como Server Message Block (SMB) o Remote Desktop Protocol (RDP), por defecto", explica IBM en una entrada de blog.
El principal problema es que en un inicio, en septiembre, cuando se lanzó un parche para corregirlo, se calificó como "importante".
Sin embargo, ahora se ha descubierto que permitía la ejecución remota de código de forma muy parecida a como lo hacía EternalBlue, por lo que su estado ha pasado a "crítico". Además, se ha señalado que tiene un alcance más amplio y podría afectar a un más sistemas debido a la mayor superficie de ataque de los servicios expuestos en redes internas o en Internet.
El nuevo exploit de Microsoft obtiene la misma calificación que EternalBlue: crítica
Para aquellos que desconozcan qué es EternalBlue, es un exploit para Windows creado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) y utilizado en el ataque de ransomware WannaCry de 2017.
Este aprovecha una vulnerabilidad en la implementación de Microsoft del protocolo SMB (Server Message Block). Engaña a una máquina Windows que no ha sido parcheada contra la vulnerabilidad para permitir paquetes de datos ilegítimos en la red legítima. Estos paquetes de datos pueden contener malware, como troyanos, ransomware o programas peligrosos similares.
La NSA no alertó a Microsoft de la existencia de EternalBlue durante un periodo de cinco años, hasta que una brecha de la NSA obligó a la agencia a hacerlo. Microsoft culpa a la agencia de la existencia de EternalBlue, y de sus consecuencias, a pesar de que este se basa en lo que entonces era una vulnerabilidad de Windows (versiones 7 y 10).
En cuanto a esta novedad, IBM ha señalado, sin embargo, que el exploit puede requerir múltiples intentos. Microsoft también señaló en su aviso que "el exploit con éxito de esta vulnerabilidad requiere que un atacante prepare el entorno de destino para mejorar la fiabilidad de este".
IBM confirma también que los detalles técnicos completos sobre CVE-2022-37958 no se harán públicos hasta el segundo trimestre de 2023 para dar a los defensores tiempo suficiente para instalar los parches.
Otros artículos interesantes:
Descubre más sobre Carolina González Valenzuela, autor/a de este artículo.
Conoce cómo trabajamos en Computerhoy.