Kritieke Windows-fout gevonden die vergelijkbaar is met EternalBlue

Net als bij EternalBlue is het met de nieuwe fout mogelijk om malafide code uit te voeren, zonder dat hier authenticatie voor vereist is, schrijft Ars Technica. Het gat is bovendien wormbaar, wat betekent dat een malware zich na een eerste infectie zelf kan verspreiden op andere kwetsbare systemen, zonder dat hier handelingen van mensen voor nodig zijn. Die eigenschap zorgde er in 2017 ook voor dat WannaCry zich razendsnel wereldwijd kon verspreiden.

Het nieuwe gat is mogelijk echter nog gevaarlijker dan EternalBlue. EternalBlue kon alleen misbruikt worden via de SMB, een protocol waarmee bijvoorbeeld bestanden gedeeld worden op een netwerk. Het nieuwe gat zit in veel meer netwerkprotocollen, wat betekent dat aanvallers veel meer mogelijkheden hebben om deze te misbruiken. 

Patch al maanden beschikbaar

CVE-2022-37958 is al in september dit jaar gedicht door Microsoft, tijdens de maandelijks Patch Tuesday. Maar Microsoft-onderzoekers dachten in eerste instantie dat het gat een minder groot probleem vormde. Op dat moment werd namelijk gedacht dat de kwetsbaarheid alleen mogelijk gevoelige informatie openbaar maakte. Daarom werd de fout als 'belangrijk' aangemerkt.

IBM-beveiligingsonderzoeker Valentina Palmiotti analyseerde de fout later, zoals routine is bij gedichte gaten. Zij ontdekte vervolgens dat het gat vergelijkbaar is met EternalBlue, waarna Microsoft de ernst verhoogde naar 'kritiek'. Palmiotti is echter voorzichtig optimistisch tegenover Ars Technica: "EternalBlue was een zeroday, maar dit is gelukkig een N-Day die drie maanden geleden al gepatcht is."

Daarentegen zijn diverse organisaties traag met het installeren van patches, wat betekent dat er mogelijk toch nog kwetsbare systemen zijn. Hoeveel systemen nog kwetsbaar zijn voor CVE-2022-37958 is onduidelijk.