Приоритизация уязвимостей это вещь ненадежная. В сентябрьском Microsoft Patch Tues­day была Infor­ma­tion Dis­clo­sure уязвимость в компоненте согласования механизма аутентификации #SPNEGO Extend­ed Nego­ti­a­tion (#NEGOEX) Secu­ri­ty Mech­a­nism (CVE-2022–37958). Ни один из VM вендоров не обратил на неё внимание.

13 декабря известная исследовательница из #IBM Secu­ri­ty X‑Force, Valenti­na Palmiotti, выложила видео с эксплуатацией этой уязвимости как Remote Code Exe­cu­tion. На видео в Lin­ux виртуалке выполняется python скрипт, на виртуалке с Win­dows 10 появляется ошибка "Your PC will auto­mat­i­cal­ly restart in one minute".

Уязвимость может быть проэксплуатирована при попытке аутентификации по #RDP и #SMB. Возможно по #SMTP, #HTTP и т.д. при нестандартной конфигурации. Т.е. может быть хуже, чем #Eter­nal­Blue.

Microsoft внесла изменения в описание уязвимости. Теперь это Crit­i­cal RCE. NVD естественно тормозит.

IBM опубликуют подробности только в Q2 2023, чтобы дать время на патчинг.