Vulnérabilité dans Microsoft Windows

  • Post author:
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/003

Date de l’alerte: 17/01/2022

APERÇU :

La vulnérabilité critique libellée CVE-2022-21907 est une vulnérabilité d’exécution de code à distance dans la pile de protocole HTTP présente sur les systèmes d’exploitation Microsoft Windows.

L’exploitation de cette faille pourrait permettre à un attaquant de prendre le contrôle à distance de la machine vulnérable.

DESCRIPTION :

Microsoft Windows propose un service de gestion des requêtes HTTP sous la forme d’un pilote en mode noyau appelé http.sys. La vulnérabilité libellée CVE-2022-21907 a été découverte dans ce pilote pour Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11. Microsoft considère qu’elle peut être exploitée dans le cadre d’attaques à propagation de type « ver informatique« .

Le pilote http.sys est utilisé par Microsoft IIS, le service Windows Remote Management (WinRM) ainsi que le service SSDP. Il est donc présent sur les serveurs et sur les postes de travail. L’exploitation de cette vulnérabilité pourrait permettre à un attaquant non authentifié d’envoyer un paquet spécialement conçu à un serveur ciblé en utilisant la pile de protocoles HTTP (http.sys) pour traiter les paquets.

Selon Microsoft, les environnements Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables par défaut, sauf si la clé de registre suivante est configurée de cette manière :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\
« EnableTrailerSupport »=dword:00000001

Microsoft a défini une cote de criticité CVSS de 9,8 sur 10, ce qui en fait est une gravité « critique ».

La version 1909 de Windows 10, n’est pas affectée par cette vulnérabilité.

IMPACT :

  • Exécution de code arbitraire à distance

SYSTEMES AFFECTÉS :

  • Windows 10 Version 1809
  • Windows 10 Version 20H2
  • Windows 10 Version 21H1
  • Windows 10 Version 21H2
  • Windows 11
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server, version 20H2

MESURES À PRENDRE :

Comme mesure d’atténuation, Microsoft indique de supprimer la valeur de type DWORD EnableTrailerSupport si elle est présente dans la clé : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

Cette mesure d’atténuation est applicable uniquement sur les systèmes Windows Server 2019 et Windows 10 version 1809. Elle ne peut pas être mise en place sur les systèmes Windows 20H2 et supérieurs pour lesquels l’application du correctif reste indispensable.

REFERENCES :

Partagez sur vos réseaux.