發(fā)現(xiàn)可遠(yuǎn)程執(zhí)行任意代碼后，微軟重新標(biāo)記 SPNEGO NEGOEX 漏洞為“關(guān)鍵”

IT之家 12 月 15 日消息，微軟在今年 9 月發(fā)布的安全更新中，披露并修復(fù)了 SPNEGO NEGOEX（CVE-2022-37958）漏洞。在安全專家發(fā)現(xiàn)該漏洞還可以用于遠(yuǎn)程代碼執(zhí)行（RCE）之后，微軟于今天將該漏洞標(biāo)記為“關(guān)鍵”（critical）。

IT之家了解到，黑客利用該漏洞可以利用 Server Message Block (SMB) 或者 Remote Desktop Protocol (RDP) 協(xié)議，在任意經(jīng)過身份驗(yàn)證的 Windows 應(yīng)用協(xié)議上訪問 NEGOEX 協(xié)議，進(jìn)而遠(yuǎn)程執(zhí)行任意代碼。當(dāng)啟用 SPNEGO 身份驗(yàn)證時(shí)，SPNEGO 還用于簡單消息傳輸協(xié)議 (SMTP) 和超文本傳輸協(xié)議 (HTTP)。

雖然微軟現(xiàn)在將這個(gè)漏洞上調(diào)至“關(guān)鍵”，不過該漏洞在 CVSS 3.1 得分為 8.1（High），這是因?yàn)橐眠@個(gè)漏洞非常復(fù)雜，而且需要經(jīng)過多次嘗試。幸運(yùn)的是該漏洞的補(bǔ)丁在今年 9 月已經(jīng)發(fā)布。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。