Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Windows Server version 20H2
  • Windows Server version 2004
  • Windows 10 version 20H2
  • Windows 10 version 2004

Résumé

[version du 21 mai 2021]

Le CERT-FR a connaissance de l'existence de codes d'attaques publics provoquant un déni de service sur l'équipement ciblé. Il est fortement recommandé de mettre à jour les postes de travail et les serveurs installés avec les versions du système d'exploitation affectées par cette vulnérabilité.

[version initiale]

Le système d'exploitation Microsoft Windows propose un service de gestion des requêtes HTTP sous la forme d'un pilote en mode noyau appelé http.sys. Une vulnérabilité a été découverte dans ce pilote pour Windows Server et Windows 10. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et l'éditeur considère qu'elle peut être exploitée dans le cadre d'attaques à propagation de type "ver informatique".

Le pilote http.sys est notamment utilisé par Microsoft IIS, le service Windows Remote Management (WinRM) ainsi que le service SSDP. Il est donc présent sur les serveurs mais également sur les postes de travail. Par conséquent, le CERT-FR recommande de considérer que l'ensemble des machines utilisant une version de Windows affectée est vulnérable.

La vulnérabilité a été découverte par l'éditeur, cependant la probabilité que des codes d'attaques soient mis au point rapidement est très élevée.

Solution

Le CERT-FR recommande de procéder sans délai à la mise à jour des systèmes d'exploitation affectés en commençant par les machines exposées sur des réseaux non sécurisés.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation