Une vulnérabilité critique dans la pile de protocoles HTTP de Windows présente un risque d’exécution de code à distance (RCE) et pourrait être « vermifuge », prévient Microsoft.

La vulnérabilité (suivie comme CVE-2022-21907) provient de failles dans http.sys, un composant de Windows qui traite les requêtes HTTP. Microsoft a publié un correctif pour se défendre contre la vulnérabilité hier (12 janvier) dans le cadre de l’édition de janvier de ses mises à jour mensuelles régulières du Patch Tuesday.

Satnam Narang, ingénieur de recherche chez Tenable, a commenté : « Pour exploiter cette vulnérabilité, un attaquant distant non authentifié pourrait envoyer une requête spécialement conçue à un serveur vulnérable à l’aide de la pile de protocoles HTTP.

« Microsoft avertit que cette vulnérabilité est vermifuge, ce qui signifie qu’aucune interaction humaine ne serait nécessaire pour qu’une attaque se propage d’un système à l’autre. »

Danny Kim, architecte principal chez Virsec, a ajouté : « CVE-2022-21907 est une CVE particulièrement dangereuse en raison de sa capacité à permettre à une attaque d’affecter un intranet entier une fois l’attaque réussie. Microsoft a déclaré que cette vulnérabilité est « vermifuge » et doit être corrigée immédiatement.

UN article de blog par Internet Storm Center du SANS Institute explique que le problème provient de défauts de codage dans la fonction de bandes-annonces HTTP.

La fonctionnalité de prise en charge de la bande-annonce HTTP permet à un expéditeur d’inclure des champs supplémentaires dans un message, une fonctionnalité qui s’avère pouvoir être manipulée via un message spécialement conçu pour lancer des attaques.

Autres défauts

Le premier Patch Tuesday en 2022 comprend la correction de 126 CVE, dont neuf sont classés critiques.

Le lot comprend des correctifs pour trois vulnérabilités RCE dans Microsoft Exchange Server (CVE-2022-21846, CVE-2022-21969, CVE-2022-21855).

Un de ces défauts, CVE-2022-21846a été signalé à Microsoft par la National Security Agency des États-Unis

CONSEILLÉ VMware Horizon sous attaque alors qu’un groupe de rançongiciels basé en Chine cible la vulnérabilité Log4j

Bien que la faille ne soit pas exploitable sur Internet et oblige la victime et l’attaquant à partager le même réseau, « un initié ou un attaquant ayant un pied dans le réseau cible pourrait utiliser ce bogue pour prendre le contrôle du serveur Exchange », a déclaré un article de blog par Trend Micro’s Zero Day Initiative met en garde.

Le lot de correctifs comprend également une mise à jour pour le logiciel open source cURL, y compris un correctif pour une vulnérabilité RCE (CVE-2021-22947) qui a été divulgué à l’origine Septembre dernier.