Microsoft a corrigé une vulnérabilité wormable dans Windows HTTP
À l'occasion du Patch Tuesday de janvier 2022, Microsoft a corrigé la vulnérabilité CVE-2022-21907 au sein de l'implémentation du protocole HTTP. Cette faille critique est wormable, ce qui signifie qu'elle est exploitable par un ver informatique.
La CVE-2022-21907 est une faille de sécurité de type "exécution de code à distance" au sein de l'implémentation du protocole HTTP (http.sys), et elle touche les versions récentes de Windows (desktop) et Windows Server. Par "versions récentes", j'entends Windows 10 à partir de la version 1809 (sauf la version Windows 10 version 1909), Windows 11, Windows Server 2019 et Windows Server 2022. Pour les deux versions de Windows Server, les installations "core" c'est-à-dire sans interface graphique sont également touchées.
Le fichier http.sys est utilisé par les serveurs Web IIS (Internet Information Services) pour être en écoute et traiter les requêtes HTTP. Une personne malveillante pourrait envoyer une requête malicieuse à destination du serveur Web afin d'exploiter cette faille de sécurité. En exploitant cette faille de sécurité, l'attaquant peut réussir à exécuter du code malveillant sur le serveur cible. Néanmoins, http.sys n'est pas un composant de IIS, mais de Windows, donc un autre programme peut très bien s'appuyer sur ce composant "http.sys" et exposer la machine.
La question que l'on se pose, c'est : comment protéger ses serveurs et ses postes ? La solution est simple, c'est d'installer les dernières mises à jour de Windows puisque cette faille de sécurité est corrigée dans le Patch Tuesday de janvier 2022, mais attention aux dommages collatéraux.
En effet, même s'il y a peu de chance que vous soyez passé à côté de l'information, sachez que les dernières mises à jour pour Windows 10, Windows 11 et Windows Server ont créé d'énormes problèmes sur les postes de travail (VPN) et surtout les serveurs (contrôleur de domaine, Hyper-V, volumes ReFS).
Microsoft explique que, par défaut, Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables, à moins que la fonctionnalité HTTP Trailer Support soit activée sur la machine. Si c'est le cas, il faut supprimer la clé de Registre "EnableTrailerSupport" sous "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters".
Si vous ne souhaitez pas installer la mise à jour dès maintenant (ce que je peux comprendre) et que vous êtes sûr qu'aucun service Web ne tourne sur vos machines, vous pouvez bloquer temporairement "http.sys" à l'aide d'une clé de Registre spécifique afin de protéger vos machines. La marche à suivre est expliquée par Sophos sur cette page (section "What to do ?").
Cette faille de sécurité peut être exploitée sans interaction de la part de l'utilisateur, ce qui signifie qu'un serveur infecté pourrait lui-même infecter une autre machine vulnérable, et ainsi de suite... C'est pour cela que l'on dit que la vulnérabilité est wormable.
