Een krachtige nieuwe kwetsbaarheid heeft alles in huis om de Windows-beveiliging op miljoenen computers op zijn kop te zetten. De kwetsbaarheid heeft nog geen officiële naam en er bestaat al een patch, maar onderzoekers waarschuwen bedrijven om de nieuwste patches te installeren of de gevolgen onder ogen te zien.
De veiligheidswereld herinnert zich nog de chaos die ontstond Eternalblue in 2017, toen een kwetsbaarheid ontdekt door de National Security Agency (NSA) werd gebruikt door de beruchte WannaCry- en NotPetya-aanvallen (onder vele andere) om digitale infrastructuren over de hele wereld te raken.
Beveiligingsonderzoekers luiden nu de noodklok over een andere krachtige kwetsbaarheid die zelfs gevaarlijker zou kunnen zijn dan EternalBlue als deze niet gepatcht wordt.
De nieuwe kwetsbaarheid, codenaam CVE-2022-37958, werkt op dezelfde manier als EternalBlue en kan worden gebruikt om op afstand kwaadaardige code uit te voeren zonder dat authenticatie nodig is. De bug is ook een "worm", wat betekent dat hij zichzelf kan repliceren om andere kwetsbare systemen te infecteren. Dit is precies de reden waarom WannaCry en andere aanvallen van 2017 zich zo snel konden verspreiden.
In tegenstelling tot EternalBlue is CVE-2022-37958 echter nog gevaarlijker omdat het niet beperkt is tot het Server Message Block (SMB)-protocol, maar wel binnen het SPNEGO Extended Negotiation-mechanisme. SPNEGO wordt gebruikt door client-serversoftware om te onderhandelen over de keuze van de te gebruiken beveiligingstechnologie.
Dankzij SPNEGO de clientcomputer en de internetserver kunnen beslissen welk protocol moet worden gebruikt voor authenticatie, naast SMB omvatten de betrokken protocollen RDP, SMTP en HTTP. Het gevaar van CVE-2022-37958 wordt verkleind door het feit dat, in tegenstelling tot EternalBlue, er al drie maanden een correcte oplossing beschikbaar is.
Microsoft de bug in september 2022 opgelost met een maandelijkse Patch Tuesday-update. Destijds classificeerden Redmond-analisten de tekortkomingen als ‘significant’, waarbij ze het probleem zagen als een mogelijke openbaarmaking van vertrouwelijke informatie en niets meer. Na beoordeling van de code gaven dezelfde analisten CVE-2022-37958 een kritieke tag en een ernstbeoordeling van 8.1, hetzelfde als EternalBlue.
Het feit dat er al een fix beschikbaar is, kan eerder een verzwarende dan een positieve factor zijn.
"Zoals we in de loop der jaren hebben gezien bij andere grote kwetsbaarheden, zoals de MS17-010-exploit in EternalBlue", zegt IBM-beveiligingsonderzoeker Valentina Palmiotti, "zijn sommige organisaties traag met het uitrollen van patches gedurende maanden of hebben ze geen nauwkeurige inventarisatie van getroffen systemen internet, en patch systemen helemaal niet."
De dreiging is er nog steeds, op de loer in miljoenen Windows-systemen sinds Windows 7.
U kunt Oekraïne helpen vechten tegen de Russische indringers. De beste manier om dit te doen is door geld te doneren aan de strijdkrachten van Oekraïne via Red het leven of via de officiële pagina NBU.
Ook interessant: