Vulnérabilité critique sur Windows (10 et 11) et Windows Server (2019 et 2022)

Date de publication :

Une nouvelle vulnérabilité (CVE-2022-21907) affecte la plupart des machines sous Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11. À noter que la version 1809 de Windows 10 et Windows Server 2019 ne sont pas touchées par défaut (plus d'informations dans la section Systèmes vulnérables).

Cette dernière permet à un attaquant non authentifié depuis internet d'exécuter du code arbitraire.

Cette vulnérabilité a un score CVSS 3.0 de 9.8 sur beaucoup de systèmes communément utilisés.

Nous vous préconisons d'Identifier rapidement les machines vulnérables (priorité aux serveurs), puis appliquer en urgence les mesures de remédiations (indiquées la catégorie "Solutions" de l'alerte).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Il est possible pour un attaquant d'exécuter du code à distance pour toutes machines exposées en HTTP et considérées comme vulnérables.
Le code étant exécuté par un pilote du noyau de Windows, le niveau de priviliège est au maximum pour le poste exploité.
À noter qu'une exploitation d'un serveur réussie depuis internet permet d'accéder aux réseaux locaux et de facilement propager la compromission vers d'autres machines vulnérables.

Exploitation

Dû au manque d'information concernant l'exploitation à l'heure actuelle, nous vous conseillons pour le moment de rester vigilant et de vous concentrer sur la correction de la vulnérabilité.

Plus d'informations à propos de l'exploitation pourront être ajoutées sur l'alerte sur le portail Cyberveille-santé dans la section alerte.

Systèmes ou composants affectés

La liste des systèmes affectés par la vulnérabilité :
- Windows 10 Version 1809 (32 bits/x64/ARM 64bits)* ;
- Windows Server 2019 (installation normal ou Server Core)* ;
- Windows 10 Version 20H2 (32 bits/x64/ARM 64bits) ;
- Windows 10 Version 21H1 (32 bits/x64/ARM 64bits) ;
- Windows 10 Version 21H2 (32 bits/x64/ARM 64bits) ;
- Windows 11 (x64/ARM 64 bits) ;
- Windows Server 2022 (installation normal ou Server Core) ;
- Windows Server, version 20H2 (installation Server Core).

Les systèmes suivants ne sont pas affectés :
- les Windows 10 version 1909 ;
- les Windows 8 ou inférieur ;
- les Windows Server 2016 et inférieur.

* Ces versions ne sont pas vulnérables par défaut, seulement si la clé de registre "EnableTrailerSupport" est présente dans HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

 

Contournement provisoire

Pour les Windows Server 2019 et Windows 10 (uniquement version 1809), il est simplement possible de supprimer la clé de registre DWORD "EnableTrailerSupport" dans le chemin suivant : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

Solutions ou recommandations

Nous vous conseillons dans un premier temps de prioriser la coupure d'internet et la mise à jour de tous Windows Server vulnérables hébergeant un service web HTTP IIS (ex: exchange OWA) avant d'appliquer le correctif sur l'ensemble du parc (serveur, postes d'administrations et enfin postes de travail).

Microsoft a adressé cette vulnérabilité dans sa dernière mise à jour du 11 janvier pour l'ensemble des versions concernés.
Nous recommandons fortement de procéder à l'installation de cette mise à jour afin de palier au plus vite à la vulnérabilité.