Microsoft reclasifica la vulnerabilidad de seguridad de negociación extendida de SPNEGO como «crítica»
Microsoft analiza nuevamente la vulnerabilidad de negociación extendida de SPNEGO y la clasifica como «crítica»
Microsoft revisó la gravedad de una vulnerabilidad de seguridad que parcheó originalmente en septiembre de 2022 y la actualizó a «Crítico» después de que su equipo supo que podría explotarse para lograr la ejecución remota de código.
Rastreada como CVE-2022-37958 (puntaje CVSS: 8.1), la vulnerabilidad se describió previamente como una vulnerabilidad de divulgación de información en el mecanismo de seguridad de negociación extendida SPNEGO (NEGOEX).
SPNEGO, abreviatura de Mecanismo de Negociación GSSAPI simple y protegido, es un esquema que permite que un cliente y un servidor remoto lleguen a un consenso sobre la elección del protocolo que se usará (por ejemplo, Kerberos o NTLM) para la autenticación.
Pero un análisis más detallado de la vulnerabilidad por parte de la investigadora de IBM Security X-Force, Valentina Palmiotti, descubrió que podría permitir la ejecución remota de código arbitrario, lo que llevó a Microsoft a reclasificar su gravedad.
Especialmente, la deficiencia podría permitir la ejecución remota de código por medio de cualquier protocolo de aplicación de Windows que autentique, inclyendo HTTP, SMB y RDP. Debido a la criticidad del problema, IBM dijo que retendrá los detalles técnicos hasta el segundo trimestre de 2023 para dar a las organizaciones tiempo suficiente para aplicar las correcciones.