En kraftig ny sårbarhet har det som skal til for å snu Windows-sikkerheten på millioner av datamaskiner på hodet. Sårbarheten har ennå ikke et offisielt navn og en oppdatering eksisterer allerede, men forskere advarer selskaper om å installere de nyeste oppdateringene eller ta konsekvensene.
Sikkerhetsverdenen husker fortsatt kaoset som ble skapt EternalBlue i 2017, da en sårbarhet oppdaget av National Security Agency (NSA) ble brukt av de beryktede WannaCry- og NotPetya-angrepene (blant mange andre) for å ramme digitale infrastrukturer rundt om i verden.
Sikkerhetsforskere slår nå alarm om en annen kraftig sårbarhet som kan være enda farligere enn EternalBlue hvis den ikke blir lappet.
Den nye sårbarheten, med kodenavnet CVE-2022-37958, fungerer på samme måte som EternalBlue og kan brukes til å eksternt kjøre ondsinnet kode uten behov for autentisering. Feilen er også en "orm", noe som betyr at den kan replikere seg selv for å infisere andre sårbare systemer. Dette er nettopp grunnen til at WannaCry og andre angrep fra 2017 kunne spre seg så raskt.
Imidlertid, i motsetning til EternalBlue, er CVE-2022-37958 enda farligere fordi den ikke er begrenset til Server Message Block (SMB)-protokollen, ettersom den er innenfor SPNEGO Extended Negotiation-mekanismen. SPNEGO brukes av klient-server-programvare for å forhandle om valget av sikkerhetsteknologi som skal brukes.
Takk til SPNEGO klientdatamaskinen og Internett-serveren kan bestemme hvilken protokoll som skal brukes for autentisering, i tillegg til SMB inkluderer de berørte protokollene RDP, SMTP og HTTP. Faren som CVE-2022-37958 utgjør, reduseres av det faktum at, i motsetning til EternalBlue, har en riktig løsning vært tilgjengelig i tre måneder.
Microsoft fikset feilen i september 2022 med en månedlig Patch Tuesday-oppdatering. På den tiden klassifiserte Redmond-analytikere feilene som "betydelige", og så på problemet som en potensiell avsløring av konfidensiell informasjon og ingenting mer. Etter å ha gjennomgått koden, tildelte de samme analytikerne CVE-2022-37958 en kritisk kode og en alvorlighetsgrad på 8.1, det samme som EternalBlue.
Det faktum at en løsning allerede er tilgjengelig kan være mer en skjerpende faktor enn en positiv.
"Som vi har sett med andre store sårbarheter gjennom årene, for eksempel MS17-010-utnyttelsen i EternalBlue," sa IBM-sikkerhetsforsker Valentina Palmiotti, "noen organisasjoner er trege med å rulle ut patcher over måneder eller har ikke en nøyaktig inventar av berørte systemer Internett, og ikke lapp systemer i det hele tatt."
Trusselen er der fortsatt, og lurer i millioner av Windows-systemer siden Windows 7.
Du kan hjelpe Ukraina med å kjempe mot de russiske inntrengerne. Den beste måten å gjøre dette på er å donere midler til Ukrainas væpnede styrker gjennom Redd livet eller via den offisielle siden NBU.
Også interessant: