La vulnérabilité critique de Windows HTTP est wormable

Microsoft: Critical Windows HTTP vulnerability is wormable

Microsoft a corrigé une faille critique marquée comme wormable et s’est avérée avoir un impact sur les dernières versions de Windows pour postes de travail et serveurs, y compris Windows 11 et Windows Server 2022.

Le bug, suivi comme CVE-2022-21907 et corrigé lors du Patch Tuesday de ce mois-ci, a été découvert dans la pile de protocoles HTTP (HTTP.sys) utilisée comme écouteur de protocole pour le traitement des requêtes HTTP par le serveur Web Windows Internet Information Services (IIS).

Une exploitation réussie nécessite que les acteurs malveillants envoient des paquets conçus de manière malveillante aux serveurs Windows ciblés, qui utilisent la pile de protocoles HTTP vulnérable pour traiter les paquets.

Microsoft recommande aux utilisateurs de donner la priorité aux correctifs cette faille sur tous les serveurs concernés car elle pourrait permettre à des attaquants non authentifiés d’exécuter à distance du code arbitraire dans des attaques de faible complexité et « dans la plupart des situations », sans nécessiter l’intervention de l’utilisateur.

Atténuation disponible (pour certaines versions de Windows)

Heureusement, la faille n’est pas actuellement exploitée activement et il n’y a pas d’exploits de preuve de concept divulgués publiquement.

De plus, sur certaines versions de Windows (par exemple, Windows Server 2019 et Windows 10 version 1809), la fonctionnalité de prise en charge de la remorque HTTP contenant le bug n’est pas activée par défaut.

Selon Microsoft, la clé de registre Windows suivante doit être configurée sur ces deux versions de Windows pour introduire la vulnérabilité :

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesHTTPParameters 

"EnableTrailerSupport"=dword:00000001

La désactivation de la fonctionnalité de prise en charge de la remorque HTTP protégera les systèmes exécutant les deux versions, mais cette atténuation ne s’applique pas aux autres versions de Windows concernées.

Cibles potentielles probablement à l’abri des attaques

Alors que les utilisateurs à domicile n’ont pas encore appliqué les mises à jour de sécurité d’aujourd’hui, la plupart des entreprises seront probablement protégées contre les exploits CVE-2022-21907, étant donné qu’elles n’exécutent généralement pas les dernières versions de Windows publiées.

Au cours des deux dernières années, Microsoft a corrigé plusieurs autres bugs wormables, affectant le serveur DNS Windows (également connu sous le nom de SIGRed), la plate-forme RDS (Remote Desktop Services) (alias BlueKeep) et le protocole Server Message Block v3 (alias SMBGhost) .

Redmond a également corrigé une autre vulnérabilité Windows HTTP RCE en mai 2021 (suivie comme CVE-2021-31166 et également étiquetée comme vermifuge), pour laquelle les chercheurs en sécurité ont publié un code d’exploitation de démonstration qui pourrait déclencher des écrans bleus de la mort.

Cependant, les acteurs de la menace doivent encore les exploiter pour créer des logiciels malveillants wormables capables de se propager entre des systèmes vulnérables exécutant des logiciels Windows vulnérables.