CERTFR-2022-ALE-001
Vulnerability from certfr_alerte

[Version du 18 janvier 2022]

Le 17 janvier 2022, l'éditeur a publié une mise à jour exceptionnelle afin de corriger plusieurs dysfonctionnements importants pouvant être rencontrés lors de l'installation des mises à jour liés au Patch Tuesday de janvier [1]. Ces mises à jour sont accessibles directement sur le catalogue Microsoft Update.

[Version initiale]

Le système d'exploitation Microsoft Windows propose un service de gestion des requêtes HTTP sous la forme d'un pilote en mode noyau appelé http.sys. Une vulnérabilité a été découverte dans ce pilote pour Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et l'éditeur considère qu'elle peut être exploitée dans le cadre d'attaques à propagation de type "ver informatique".

Pour rappel, le pilote http.sys est notamment utilisé par Microsoft IIS, le service Windows Remote Management (WinRM) ainsi que le service SSDP. Il est donc présent sur les serveurs mais également sur les postes de travail. Par conséquent, le CERT-FR recommande de considérer que l'ensemble des machines utilisant une version de Windows affectée est vulnérable.

D'après Microsoft, les environnements Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables par défaut, sauf si la clé de registre suivante est configurée de cette manière :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\ "EnableTrailerSupport"=dword:00000001

Toutes les autres versions de Windows listées dans la section Systèmes affectés sont vulnérables tant que le correctif n'a pas été appliqué.

Le système Windows 10 version 1909 n'est pas listé dans les Systèmes affectés car le code contenant la vulnérabilité n'y figure pas.

Contournement provisoire

[Mise à jour du 13 janvier 2022]

Attention : Les mesures d'atténuation proposées ci-dessous ne sont pas encore présentes dans la version française de l'avis Microsoft et sont issues de la version anglaise.

Microsoft indique de supprimer la valeur de type DWORD EnableTrailerSupport si elle est présente dans la clé :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

Cette mesure de contournement est applicable uniquement sur les systèmes Windows Server 2019 et Windows 10 version 1809. Elle ne peut pas être mise en place sur les systèmes Windows 20H2 et supérieurs pour lesquels l'application du correctif reste indispensable.

Pour rappel, les systèmes Windows 10 version 1809 ne reçoivent plus de mises à jour de sécurité depuis le 11 mai 2021. Le CERT-FR recommande fortement de mettre à niveau ces environnements à la dernière version Windows 10.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
Microsoft Windows Windows 10 Version 21H2 pour systèmes 32 bits
Microsoft Windows Windows Server 2022 (Server Core installation)
Microsoft Windows Windows 10 Version 1809 pour systèmes x64
Microsoft Windows Windows 10 Version 21H2 pour systèmes ARM 64 bits
Microsoft Windows Windows Server 2019 (Server Core installation)
Microsoft Windows Windows 10 Version 20H2 pour systèmes x64
Microsoft Windows Windows 10 Version 20H2 pour systèmes ARM 64 bits
Microsoft Windows Windows 10 Version 21H1 pour systèmes 32 bits
Microsoft Windows Windows 10 Version 20H2 pour systèmes 32 bits
Microsoft Windows Windows Server 2019
Microsoft Windows Windows Server, version 20H2 (Server Core Installation)
Microsoft Windows Windows 10 Version 21H1 pour systèmes x64
Microsoft Windows Windows 10 Version 21H2 pour systèmes x64
Microsoft Windows Windows 10 Version 21H1 pour systèmes ARM 64 bits
Microsoft Windows Windows 10 Version 1809 pour systèmes ARM 64 bits
Microsoft Windows Windows 11 pour systèmes ARM 64 bits
Microsoft Windows Windows Server 2022
Microsoft Windows Windows 10 Version 1809 pour systèmes 32 bits
Microsoft Windows Windows 11 pour systèmes x64
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows 10 Version 21H2 pour syst\u00e8mes 32 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2022 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1809 pour syst\u00e8mes x64",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H2 pour syst\u00e8mes ARM 64 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 20H2 pour syst\u00e8mes x64",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 20H2 pour syst\u00e8mes ARM 64 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H1 pour syst\u00e8mes 32 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 20H2 pour syst\u00e8mes 32 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server, version 20H2 (Server Core Installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H1 pour syst\u00e8mes x64",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H2 pour syst\u00e8mes x64",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H1 pour syst\u00e8mes ARM 64 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1809 pour syst\u00e8mes ARM 64 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 11 pour syst\u00e8mes ARM 64 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2022",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1809 pour syst\u00e8mes 32 bits",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 11 pour syst\u00e8mes x64",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2022-05-04",
  "content": "\n## Contournement provisoire\n\n\u003cspan darkreader-inline-color=\"\"\u003e\\[Mise \u00e0 jour du 13 janvier\n2022\\]\u003c/span\u003e\n\nAttention : Les mesures d\u0027att\u00e9nuation propos\u00e9es ci-dessous ne sont pas\nencore pr\u00e9sentes dans la version\n[fran\u00e7aise](https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2022-21907)\nde l\u0027avis Microsoft et sont issues de la version\n[anglaise](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907).\n\nMicrosoft indique de supprimer la valeur de type DWORD\n*EnableTrailerSupport* si elle est pr\u00e9sente dans la cl\u00e9 :\n\n`HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\HTTP\\Parameters`\n\nCette mesure de contournement est applicable uniquement sur les syst\u00e8mes\nWindows Server 2019 et Windows 10 version 1809. Elle ne peut pas \u00eatre\nmise en place sur les syst\u00e8mes Windows 20H2 et sup\u00e9rieurs pour lesquels\nl\u0027application du correctif reste indispensable.\n\nPour rappel, les syst\u00e8mes Windows 10 version 1809 ne re\u00e7oivent plus de\nmises \u00e0 jour de s\u00e9curit\u00e9 depuis le 11 mai 2021. Le CERT-FR recommande\nfortement de mettre \u00e0 niveau ces environnements \u00e0 la derni\u00e8re version\nWindows 10.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\n",
  "cves": [
    {
      "name": "CVE-2022-21907",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-21907"
    }
  ],
  "initial_release_date": "2022-01-12T00:00:00",
  "last_revision_date": "2022-05-04T00:00:00",
  "links": [
    {
      "title": "[1] Mise \u00e0 jour exceptionnelle du 17 janvier 2022",
      "url": "https://docs.microsoft.com/en-us/windows/release-health/windows-message-center"
    }
  ],
  "reference": "CERTFR-2022-ALE-001",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-01-12T00:00:00.000000"
    },
    {
      "description": "Annule et remplace l\u0027alerte CERTFR-2022-ALE-023",
      "revision_date": "2022-01-13T00:00:00.000000"
    },
    {
      "description": "Prise en compte des informations contenues dans la mise \u00e0 jour de l\u0027avis Microsoft du 12 janvier 2022",
      "revision_date": "2022-01-13T00:00:00.000000"
    },
    {
      "description": "Prise en compte de la mise \u00e0 jour exceptionnelle du 17 janvier 2022",
      "revision_date": "2022-01-18T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2022-05-04T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Version du 18 janvier 2022\\]\u003c/strong\u003e\n\nLe 17 janvier 2022, l\u0027\u00e9diteur\u003cspan\nclass=\"mx_MTextBody mx_EventTile_content\"\u003e\u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003e a publi\u00e9 une mise \u00e0 jour\nexceptionnelle afin de corriger\u003c/span\u003e\u003c/span\u003e plusieurs\ndysfonctionnements importants pouvant \u00eatre rencontr\u00e9s lors de\nl\u0027installation \u003cspan class=\"mx_MTextBody mx_EventTile_content\"\u003e\u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003edes mises \u00e0 jour li\u00e9s au *Patch\nTuesday* de janvier \\[1\\]\u003c/span\u003e\u003c/span\u003e\u003cspan\nclass=\"mx_MTextBody mx_EventTile_content\"\u003e\u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003e. Ces mises \u00e0 jour sont accessibles\ndirectement sur le catalogue Microsoft Update.\u003c/span\u003e\u003c/span\u003e\n\n\u003cstrong\u003e\\[Version initiale\\]\u003c/strong\u003e\n\nLe syst\u00e8me d\u0027exploitation Microsoft Windows propose un service de\ngestion des requ\u00eates HTTP sous la forme d\u0027un pilote en mode noyau appel\u00e9\n*http.sys*. Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans ce pilote pour\nWindows Server 2019, Windows Server 2022, Windows 10 et Windows 11. Elle\npermet \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0\ndistance et l\u0027\u00e9diteur consid\u00e8re qu\u0027elle peut \u00eatre exploit\u00e9e dans le\ncadre d\u0027attaques \u00e0 propagation de type \"ver informatique\".\n\nPour rappel, le pilote *http.sys* est notamment utilis\u00e9 par Microsoft\nIIS, le service Windows Remote Management (WinRM) ainsi que le service\nSSDP. Il est donc pr\u00e9sent sur les serveurs mais \u00e9galement sur les postes\nde travail. Par cons\u00e9quent, le CERT-FR recommande de consid\u00e9rer que\nl\u0027ensemble des machines utilisant une version de Windows affect\u00e9e est\nvuln\u00e9rable.\n\nD\u0027apr\u00e8s Microsoft, les environnements Windows Server 2019 et Windows 10\nversion 1809 ne sont pas vuln\u00e9rables par d\u00e9faut, sauf si la cl\u00e9 de\nregistre suivante est configur\u00e9e de cette mani\u00e8re :\n\n`HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\HTTP\\Parameters\\ \"EnableTrailerSupport\"=dword:00000001`\n\nToutes les autres versions de Windows list\u00e9es dans la section Syst\u00e8mes\naffect\u00e9s sont vuln\u00e9rables tant que le correctif n\u0027a pas \u00e9t\u00e9 appliqu\u00e9.\n\nLe syst\u00e8me Windows 10 version 1909 n\u0027est pas list\u00e9 dans les Syst\u00e8mes\naffect\u00e9s car le code contenant la vuln\u00e9rabilit\u00e9 n\u0027y figure pas.\n",
  "title": "[MaJ] Vuln\u00e9rabilit\u00e9 dans Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": "2022-01-11",
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2022-21907",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907"
    },
    {
      "published_at": "2022-01-12",
      "title": "Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2022-AVI-027",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-027/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.