Уязвимость в NEGOEX SPNEGO стала RCE, проверьте наличие сентябрьского патча

Татьяна Никитина 15 Декабря 2022 - 20:28

Домашние пользователи

...

Два дня назад Microsoft обновила бюллетень по закрытой в сентябре уязвимости в NEGOEX (расширении SPNEGO), повысив опасность угрозы до критического уровня. Как оказалось, эксплойт позволяет не только добраться до конфиденциальной информации, но также удаленно выполнить произвольный код.

Проблему усугубляет тот факт, что CVE-2022-37958 способна обеспечить большую площадь атаки для самоходных сетевых червей. Механизм безопасности SPNEGO используют многие протоколы приложений Windows: RDP, SMB, SMTP, HTTP; и для всех этих служб он включен по умолчанию, начиная с Windows 7.

Последствия могут быть разрушительными — достаточно вспомнить эпидемию WannaCry или Petya, а ведь эти шифровальщики с функциями червя использовали лишь один уязвимый протокол Windows — SMB (CVE-2017-0144, она же EternalBlue).

Возможность удаленного исполнения кода с помощью CVE-2022-37958 обнаружила эксперт IBM X-Force Валентина Пальмьотти (Valentina Palmiotti). Согласно описанию в блоге X-Force, эксплойт можно провести, получив доступ к NEGOEX через любую службу, использующую этот механизм расширенного согласования протокола аутентификации.

Взаимодействия с пользователем атака в данном случае не требует, однако добиться успеха с первой попытки вряд ли удастся. В связи с этим степень опасности RCE-проблемы Microsoft оценила в 8,1 балла CVSS — как высокую. Тем не менее всем обновлениям с патчем для Windows присвоен статус «критическое».

Подробности уязвимости до сих пор не опубликованы: пользователям дали дополнительное время на латание дыр. Всем, кто это еще не сделал, настоятельно советуют установить обновления безопасности от 13 сентября. Другие полезные рекомендации:

проверить интернет-доступ к затронутым сервисам (SMB, RDP);
непрерывно мониторить внешний периметр, особенно веб-серверы IIS с включенной аутентификацией Windows;
сократить число провайдеров аутентификации, оставив лишь Kerberos или Net-NTLM; удалить дефолтного провайдера Negotiate.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Яков Шпунт 17 Февраля 2026 - 09:22

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Покрыть миллионники сетями 5G за 5 лет сложно, но возможно

Операторы связи обсуждают с Минцифры возможность выделения частот для 5G без проведения аукциона — при условии выполнения ряда обязательств, включая запуск сетей нового поколения в городах с населением более 1 млн человек. По оценке отраслевых экспертов, технически это реализуемо, однако окупаемость проекта вызывает сомнения.

Об активных переговорах между Минцифры и операторами по условиям распределения частот для развертывания 5G сообщил «Коммерсантъ» со ссылкой на источники на телеком-рынке. По словам двух собеседников издания, строительство сетей в ранее предложенном диапазоне 4,8–4,99 ГГц оказалось экономически нецелесообразным: инвестиции не удаётся окупить даже в горизонте более 10 лет.

В качестве альтернативы обсуждается вариант распределения частот при выполнении определённых обязательств. Один из источников отметил: «В частности, речь идёт об оперативном запуске сетей 5G в городах-миллионниках, где проблема перегруженности сетей наиболее остра. К 2031 году сети должны появиться в 16 городах с населением свыше одного миллиона человек».

«Первые коммерческие сети связи пятого поколения должны появиться в России в 2026 году. Сроки и условия выделения частот будут зависеть от результатов обсуждения с заинтересованными ведомствами и операторами связи. В частности, рассматриваются возможность и сроки покрытия 5G городов-миллионников. Окончательное решение пока не принято, вопрос находится в проработке», — сообщили в Минцифры.

Эксперты, опрошенные изданием, считают, что с технической точки зрения задача реализуема. Однако финансовая сторона вызывает серьёзные вопросы. Директор по продуктам Vigo Антон Прокопенко отметил, что уложиться в заявленные сроки возможно только при использовании зарубежного оборудования. По его словам, ускорить запуск может применение модели 5G Non-Standalone — когда новая сеть разворачивается поверх существующей инфраструктуры.

С точки зрения экономики проекта оценки более сдержанные. Партнёр департамента финансового консультирования ДРТ Антон Шульга указал на насыщенность рынка и низкую потенциальную окупаемость. Директор практики «Цифровая трансформация» Strategy Partners Светлана Архипкина добавила, что расходы на развертывание 5G существенно выше: для обеспечения сопоставимого качества покрытия требуется как минимум в 1,5 раза больше базовых станций, что увеличивает инвестиционную нагрузку на операторов.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!