可导致RCE，微软更改CVE-2022-37958的评级

IBM 安全研究员 Valentina Palmiotti指出，微软再9月份修复的CVE-2022-37958 可导致远程代码执行后果，为此微软将该漏洞的评级从“重要”级别提升到“严重”等级。

9月份，微软修复了CVE-2022-37958，表示它是和SPNEGO Extended Negotiation (NEGOEX) 安全机制相关的漏洞。该机制供客户端和服务器用于协商认证协议。一名匿名研究员将该漏洞告知微软，当时该漏洞被判定为是“重要”级别的信息泄露漏洞。

然而，在12月份的补丁星期二中，微软更新了该安全公告，将其提高到“严重“级别，并提醒称它可用于远程代码执行。

Palmiotti 提到，该漏洞可遭未认证攻击者实现远程代码执行，因此实际上非常严重。该漏洞影响大量协议且无需用户交互，此外它还可能具有蠕虫性质。IBM 在博客文章中指出，“在默认情况下，该漏洞可导致攻击者通过任何Windows 应用验证协议如SMB或RDP，访问NEGOEX协议，远程执行任意代码。受影响协议的清单并不完整，而且在启用SPNEGO验证协议的情况下（如和Kerberos或Net-NTLM 验证使用的情况），使用SPNEGO的协议均受影响，如SMTP和HTTP。”

IBM 将 CVE-2022-37958比作CVE-2017-0144。后者曾用于和NSA相关联的“永恒之蓝 (EternalBlue)” exploit 中。IBM指出，CVE-2022-37958的影响范围更广，且由于保护在内网或互联网上的服务攻击面更大，因此可能还影响大量系统。

然而，IBM指出，可能需要多次尝试才能实施利用。微软还在安全公告中提到，“成功利用该漏洞要求攻击者准备目标环境，改进利用的可靠性。”

为了让防御人员获得足够的补丁安装时间，IBM将在2023年第二季度公开该漏洞详情。