상세 컨텐츠

본문 제목

[1day Analysis] CVE-2022-37958 취약점 분석

ANALYSIS/Vulnerability Analysis

by koharin 2023. 7. 25. 20:05

본문

728x90
반응형

취약점 개요

  • CVSS Score: 8.1 (HIGH)
  • 취약점 타입: RCE(Remote Code Execution)
  • 취약점 개요: Windows 애플리케이션 프로토콜을 통해 원격의 공격자가 NEGOEX 프로토콜에 접근하여 악성코드를 실행할 수 있음
  • 취약점 공개 날짜: 2022.08.08
  • 취약한 대상: SPNEGO Extended Negotiation (NEGOEX) 보안 메커니즘
  • 영향을 받는 프로토콜: NEGOEX이 활성화된 Windows 애플리케이션 프로토콜(SMB, RDP, HTTP, SMTP 등) 중 인터넷에 노출되거나 내부 네트워크에 노출된 프로토콜
  • 영향 받는 시스템: Windows 7 이상


Background

SPNEGO Extended Negotiation (NEGOEX)

  • 클라이언트와 서버가 어떤 보안 메커니즘을 사용할지 결정하는데 사용됨

Root Cause 분석

  • 원격의 공격자는 Windows 애플리케이션 프로토콜을 이용하여 NEGOEX 프로토콜에 접근하여 임의의 코드를 실행할 수 있다.
  • 이때 Windows 애플리케이션 프로토콜는 Server Message Block (SMB), Remote Desktop Protocol (RDP), Simple Message Transport Protocol (SMTP) , Hyper Text Transfer Protocol (HTTP) 등이 될 수 있다. 즉, SPNEGO 인증 협상이 활성화된 Windows 애플리케이션 프로토콜은 영향을 받는다.
  • 원격의 공격자가 공격 시 타겟에서의 사용자 인터페이스나 인증이 필요가 없다.
  • 처음에는 정보 공개 취약점으로 분류되어 CVSS 점수가 7.5이었으나, IBM Security X-Force 연구원이 많은 프로토콜에 영향을 미치는 사전 인증 원격 코드 실행(Remote Code Execution, RCE) 문제를 유발할 수 있다는 사실을 공개하여 MS가 CVSS 점수를 8.1로 수정함
  • 2017년 공개된 WannaCry 랜섬웨어가 악용한 SMB 프로토콜에 영향을 준 취약점인 EternalBlue 취약점보다 더 많은 Windows 애플리케이션 프로토콜에 영향을 주기 때문에 더 큰 파급력을 가지고 있다고 평가됨


Mitigation

  • NTLM 및 Kerberos 인증에서 Windows authentication providers를 제한하거나, default provider에서 “Negotiate”를 제거함

Patch 분석

  • 2022년 9월 13일 Microsoft에서 해당 SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability를 패치함
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37958


Reference

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37958
https://blog.alyac.co.kr/5025
https://securityintelligence.com/posts/critical-remote-code-execution-vulnerability-spnego-extended-negotiation-security-mechanism/
https://vulcan.io/blog/cve-2022-37958-the-new-face-of-eternalblue/
https://twitter.com/chompie1337/status/1602757336908660736?cxt=HHwWgIC8-cvTkb4sAAAA
https://www.rezilion.com/blog/everything-you-need-to-know-about-the-spnego-negoex-cve-2022-37958/

Everything you need to know about the SPNEGO NEGOEX CVE-2022-37958 - Rezilion

CVE-2022-37958 is a vulnerability in the SPNEGO NEGOEX security mechanism in Windows and updated December 13th, 2022.

www.rezilion.com

https://learn.microsoft.com/ko-kr/dotnet/framework/network-programming/ntlm-and-kerberos-authentication

728x90
반응형

'ANALYSIS > Vulnerability Analysis' 카테고리의 다른 글

CVE-2021-3156 : Privilege Escalation by Sudo Vulnerability  (0) 2021.09.11
CVE-2020-15257 : Docker host escape vulnerability using host networking  (0) 2021.06.30
CVE-2021-3493: Kernel Vulnerability in Overlayfs  (0) 2021.05.30
CVE-2017-5123 Analysis - Linux Kernel Vulnerability(Privilege Escalation)  (0) 2021.05.09

관련글 더보기

티스토리툴바