Onderzoekers van IBM Security ontdekken een Windows-kwetsbaarheid voor remote code execution (RCE). De vondst lijkt akelig veel op EternalBlue, een kwetsbaarheid die in 2017 werd gebruikt om WannaCry aan te wakkeren en netwerken wereldwijd plat te leggen.
De nieuwe kwetsbaarheid staat bekend als CVE-2022-37958. Het probleem stelt aanvallers in staat om kwaadaardige code uit te voeren zonder authenticatie, vergelijkbaar met EternalBlue.
De tweede gelijkenis is wormability, wat betekent dat een enkele aanval een kettingreactie van aanvallen op apparaten kan veroorzaken. Dit is hoe WannaCry met behulp van EternalBlue binnen enkele minuten wereldwijd werd verspreid.
Hoe het werkt
“Een aanvaller kan de kwetsbaarheid activeren via elk Windows application protocol voor authenticatie”, aldus Valentina Palmiotti, de IBM-beveiligingsonderzoeker die de kwetsbaarheid vond en het proces in een interview uitlegde.
“De kwetsbaarheid kan bijvoorbeeld worden getriggerd door verbinding te maken met SMB-share of Remote Desktop. Andere voorbeelden zijn internet-exposed Microsoft IIS servers en SMTP servers waarop Windows Authentication is ingeschakeld.”
Van belangrijk naar kritiek
Microsoft lanceerde een fix voor CVE-2022-37958 in de Patch Tuesday van september. Toentertijd dachten onderzoekers dat de kwetsbaarheid alleen tot datalekken kon leiden. Vandaar werd het probleem als ‘Belangrijk’ bestempeld.
Na de patch werd de kwetsbaarheid door Palmiotti geanalyseerd. De onderzoeker ontdekte dat de kwetsbaarheid remote code execution (RCE) mogelijk maakte op een vergelijkbare manier als EternalBlue. Vorige week veranderde Microsoft de stempel van ‘Belangrijk’ naar ‘Kritiek’ met een risicoscore van 8,1, hetzelfde cijfer als EternalBlue.
Ondanks de vondst klonk Palmiotti optimistisch. “EternalBlue was een 0-Day was, maar hier hebben we een voorsprong van drie maanden”, vertelde de onderzoeker.
Tip: IBM volgt cybercrime met miljarden datapoints: dit zijn de lessen