Résumé
[Version du 18 janvier 2022]
Le 17 janvier 2022, l'éditeur a publié une mise à jour
exceptionnelle afin de corriger plusieurs
dysfonctionnements importants pouvant être rencontrés lors de
l'installation des mises à jour liés au Patch
Tuesday de janvier [1]. Ces mises à jour sont accessibles
directement sur le catalogue Microsoft Update.
[Version initiale]
Le système d'exploitation Microsoft Windows propose un service de
gestion des requêtes HTTP sous la forme d'un pilote en mode noyau appelé
http.sys. Une vulnérabilité a été découverte dans ce pilote pour
Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11. Elle
permet à un attaquant de provoquer une exécution de code arbitraire à
distance et l'éditeur considère qu'elle peut être exploitée dans le
cadre d'attaques à propagation de type "ver informatique".
Pour rappel, le pilote http.sys est notamment utilisé par Microsoft
IIS, le service Windows Remote Management (WinRM) ainsi que le service
SSDP. Il est donc présent sur les serveurs mais également sur les postes
de travail. Par conséquent, le CERT-FR recommande de considérer que
l'ensemble des machines utilisant une version de Windows affectée est
vulnérable.
D'après Microsoft, les environnements Windows Server 2019 et Windows 10
version 1809 ne sont pas vulnérables par défaut, sauf si la clé de
registre suivante est configurée de cette manière :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\ "EnableTrailerSupport"=dword:00000001
Toutes les autres versions de Windows listées dans la section Systèmes
affectés sont vulnérables tant que le correctif n'a pas été appliqué.
Le système Windows 10 version 1909 n'est pas listé dans les Systèmes
affectés car le code contenant la vulnérabilité n'y figure pas.
Contournement provisoire
[Mise à jour du 13 janvier
2022]
Attention : Les mesures d'atténuation proposées ci-dessous ne sont pas
encore présentes dans la version
française
de l'avis Microsoft et sont issues de la version
anglaise.
Microsoft indique de supprimer la valeur de type DWORD
EnableTrailerSupport si elle est présente dans la clé :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
Cette mesure de contournement est applicable uniquement sur les systèmes
Windows Server 2019 et Windows 10 version 1809. Elle ne peut pas être
mise en place sur les systèmes Windows 20H2 et supérieurs pour lesquels
l'application du correctif reste indispensable.
Pour rappel, les systèmes Windows 10 version 1809 ne reçoivent plus de
mises à jour de sécurité depuis le 11 mai 2021. Le CERT-FR recommande
fortement de mettre à niveau ces environnements à la dernière version
Windows 10.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).