Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Windows 10 Version 1809 pour systèmes 32 bits
  • Windows 10 Version 1809 pour systèmes ARM 64 bits
  • Windows 10 Version 1809 pour systèmes x64
  • Windows 10 Version 20H2 pour systèmes 32 bits
  • Windows 10 Version 20H2 pour systèmes ARM 64 bits
  • Windows 10 Version 20H2 pour systèmes x64
  • Windows 10 Version 21H1 pour systèmes 32 bits
  • Windows 10 Version 21H1 pour systèmes ARM 64 bits
  • Windows 10 Version 21H1 pour systèmes x64
  • Windows 10 Version 21H2 pour systèmes 32 bits
  • Windows 10 Version 21H2 pour systèmes ARM 64 bits
  • Windows 10 Version 21H2 pour systèmes x64
  • Windows 11 pour systèmes ARM 64 bits
  • Windows 11 pour systèmes x64
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server, version 20H2 (Server Core Installation)

Résumé

[Version du 18 janvier 2022]

Le 17 janvier 2022, l'éditeur a publié une mise à jour exceptionnelle afin de corriger plusieurs dysfonctionnements importants pouvant être rencontrés lors de l'installation des mises à jour liés au Patch Tuesday de janvier [1]. Ces mises à jour sont accessibles directement sur le catalogue Microsoft Update.

[Version initiale]

Le système d'exploitation Microsoft Windows propose un service de gestion des requêtes HTTP sous la forme d'un pilote en mode noyau appelé http.sys. Une vulnérabilité a été découverte dans ce pilote pour Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et l'éditeur considère qu'elle peut être exploitée dans le cadre d'attaques à propagation de type "ver informatique".

Pour rappel, le pilote http.sys est notamment utilisé par Microsoft IIS, le service Windows Remote Management (WinRM) ainsi que le service SSDP. Il est donc présent sur les serveurs mais également sur les postes de travail. Par conséquent, le CERT-FR recommande de considérer que l'ensemble des machines utilisant une version de Windows affectée est vulnérable.

D'après Microsoft, les environnements Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables par défaut, sauf si la clé de registre suivante est configurée de cette manière :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\
"EnableTrailerSupport"=dword:00000001

Toutes les autres versions de Windows listées dans la section Systèmes affectés sont vulnérables tant que le correctif n'a pas été appliqué.

Le système Windows 10 version 1909 n'est pas listé dans les Systèmes affectés car le code contenant la vulnérabilité n'y figure pas.

Contournement provisoire

[Mise à jour du 13 janvier 2022]

Attention : Les mesures d'atténuation proposées ci-dessous ne sont pas encore présentes dans la version française de l'avis Microsoft et sont issues de la version anglaise.

Microsoft indique de supprimer la valeur de type DWORD EnableTrailerSupport si elle est présente dans la clé :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

Cette mesure de contournement est applicable uniquement sur les systèmes Windows Server 2019 et Windows 10 version 1809. Elle ne peut pas être mise en place sur les systèmes Windows 20H2 et supérieurs pour lesquels l'application du correctif reste indispensable.

Pour rappel, les systèmes Windows 10 version 1809 ne reçoivent plus de mises à jour de sécurité depuis le 11 mai 2021. Le CERT-FR recommande fortement de mettre à niveau ces environnements à la dernière version Windows 10.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation