SPNEGO 扩展协商 (NEGOEX) 安全机制远程代码执行漏洞(CVE-2022-37958)

一、漏洞概述

近日,我司安全团队监测到境外APT攻击活动并捕获到SPNEGO 扩展协商 (NEGOEX) 安全机制远程代码执行漏洞(CVE-2022-37958)相关工具。由于SPNEGO 扩展协商 (NEGOEX)安全机制存在缺陷,在特定条件下,未经身份验证的远程攻击者可通过任何可进行身份验证的 Windows 应用程序协议(如SMB、RDP)来访问NEGOEX协议,从而导致执行任意代码。该漏洞影响多种协议,存在用于传播蠕虫病毒的可能性,请受影响的用户尽快采取措施进行防护。

SPNEGO( Simple and Protected GSS-API Negotiation)是微软提供的一种使用GSS-API认证机制的安全协议,用于使Webserver共享Windows Credentials,它扩展了Kerberos。

绿盟科技已分析复现此漏洞:

参考链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37958

二、影响范围

受影响版本

  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 version 21H2 for ARM64-based Systems
  • Windows 11 version 21H2 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)

三、产品检测

绿盟科技远程安全评估系统(RSAS)与网络入侵检测系统(IDS)已具备对此次漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。

  升级包版本号 升级包下载链接
RSAS V6系统插件包 V6.0R02F01.2105 http://update.nsfocus.com/update/downloads/id/112960
IDS 5.6.11.29447 http://update.nsfocus.com/update/downloads/id/138227
5.6.10.29515 http://update.nsfocus.com/update/downloads/id/138448

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

四、漏洞防护

  • 补丁更新

目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁,建议受影响用户开启系统自动更新安装补丁进行防护。

注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。右键点击Windows徽标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。

针对未成功安装更新补丁的情况,可直接下载离线安装包进行更新,链接如下:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37958

  • 产品防护

针对该漏洞,绿盟科技网络入侵防护系统(IPS)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护能力。安全防护产品规则版本号如下:

  升级包版本号 升级包下载链接
IPS 5.6.11.29447 http://update.nsfocus.com/update/downloads/id/138227
5.6.10.29515 http://update.nsfocus.com/update/downloads/id/138448

产品规则升级的操作步骤详见如下链接:

IPS:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author