CERTFR-2021-ALE-009
Vulnerability from certfr_alerte

[version du 21 mai 2021]

Le CERT-FR a connaissance de l'existence de codes d'attaques publics provoquant un déni de service sur l'équipement ciblé. Il est fortement recommandé de mettre à jour les postes de travail et les serveurs installés avec les versions du système d'exploitation affectées par cette vulnérabilité.

[version initiale]

Le système d'exploitation Microsoft Windows propose un service de gestion des requêtes HTTP sous la forme d'un pilote en mode noyau appelé http.sys. Une vulnérabilité a été découverte dans ce pilote pour Windows Server et Windows 10. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et l'éditeur considère qu'elle peut être exploitée dans le cadre d'attaques à propagation de type "ver informatique".

Le pilote http.sys est notamment utilisé par Microsoft IIS, le service Windows Remote Management (WinRM) ainsi que le service SSDP. Il est donc présent sur les serveurs mais également sur les postes de travail. Par conséquent, le CERT-FR recommande de considérer que l'ensemble des machines utilisant une version de Windows affectée est vulnérable.

La vulnérabilité a été découverte par l'éditeur, cependant la probabilité que des codes d'attaques soient mis au point rapidement est très élevée.

Solution

Le CERT-FR recommande de procéder sans délai à la mise à jour des systèmes d'exploitation affectés en commençant par les machines exposées sur des réseaux non sécurisés.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Microsoft Windows Windows 10 version 20H2
Microsoft Windows Windows Server version 2004
Microsoft Windows Windows Server version 20H2
Microsoft Windows Windows 10 version 2004
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows 10 version 20H2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server version 2004",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server version 20H2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 version 2004",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2021-06-10",
  "content": "## Solution\n\n**Le CERT-FR recommande de proc\u00e9der sans d\u00e9lai \u00e0 la mise \u00e0 jour des\nsyst\u00e8mes d\u0027exploitation affect\u00e9s en commen\u00e7ant par les machines expos\u00e9es\nsur des r\u00e9seaux non s\u00e9curis\u00e9s.**\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2021-31166",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-31166"
    }
  ],
  "initial_release_date": "2021-05-12T00:00:00",
  "last_revision_date": "2021-06-10T00:00:00",
  "links": [],
  "reference": "CERTFR-2021-ALE-009",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-05-12T00:00:00.000000"
    },
    {
      "description": "Des codes d\u0027attaques sont d\u00e9sormais publics.",
      "revision_date": "2021-05-21T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2021-06-10T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[version du 21 mai 2021\\]\u003c/strong\u003e\n\nLe CERT-FR a connaissance de l\u0027existence de codes d\u0027attaques publics\nprovoquant un d\u00e9ni de service sur l\u0027\u00e9quipement cibl\u00e9. Il est fortement\nrecommand\u00e9 de mettre \u00e0 jour les postes de travail et les serveurs\ninstall\u00e9s avec les versions du syst\u00e8me d\u0027exploitation affect\u00e9es par\ncette vuln\u00e9rabilit\u00e9.\n\n\u003cstrong\u003e\\[version initiale\\]\u003c/strong\u003e\n\nLe syst\u00e8me d\u0027exploitation Microsoft Windows propose un service de\ngestion des requ\u00eates HTTP sous la forme d\u0027un pilote en mode noyau appel\u00e9\nhttp.sys. Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans ce pilote pour Windows\nServer et Windows 10. Elle permet \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance et l\u0027\u00e9diteur consid\u00e8re qu\u0027elle\npeut \u00eatre exploit\u00e9e dans le cadre d\u0027attaques \u00e0 propagation de type \"ver\ninformatique\".\n\nLe pilote http.sys est notamment utilis\u00e9 par Microsoft IIS, le service\nWindows Remote Management (WinRM) ainsi que le service SSDP. Il est donc\npr\u00e9sent sur les serveurs mais \u00e9galement sur les postes de travail. Par\ncons\u00e9quent, le CERT-FR recommande de consid\u00e9rer que l\u0027ensemble des\nmachines utilisant une version de Windows affect\u00e9e est vuln\u00e9rable.\n\nLa vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte par l\u0027\u00e9diteur, cependant la\nprobabilit\u00e9 que des codes d\u0027attaques soient mis au point rapidement est\ntr\u00e8s \u00e9lev\u00e9e.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-31166 du 11 mai 2021",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166"
    },
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-367 du 12 mai 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-367/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.