Auteur Sujet: Campagne de mail pour avertir d'une vulnérabilité Windows (Lu 1012 fois)

vivien · « **le:** 18 janvier 2022 à 17:36:47 »

Des milliers d'entreprises ont reçus le mail ci-dessous de la part de leur organisation patronale française.

Tout de suite, j'ai pensé à un mail frauduleux, mais l'expéditeur est authentique et la menace est bien sur le site de https://www.cybermalveillance.gouv.fr/medias/2022/01/20220118-AlerteCyber-Windows-Windows_Server.html

C'est la vulnérabilité CVE-2022-21907, aucune interaction utilisateur et aucun privilège n'est requis pour ce bug, mais si j'ai bien compris, c'est principalement Windows serveur qui est concerné.

Pourquoi faire une telle publicité pour cette faille aujourd'hui (l'alerte CyberMalveillance est datée d'aujourd'hui), corrigé dans le path-thesday de janvier, disponible depuis une semaine ?

Le mail :

Objet : URGENT - AlerteCyber : Microsoft Windows et Windows Server
Importance : Haute

Madame la Présidente, Monsieur le Président,

Madame, Monsieur,

Dans le cadre de la procédure AlerteCyber dont la XXXXXXX se fait le relais, vous trouverez dans ce mail (ci-dessous et dans le lien ci-après) l’alerte qui vient d’être émise par l'ANSSI et Cybermalveillance.gouv.fr à destination notamment des entreprises.

Cette alerte concerne une faille de sécurité critique de dimension mondiale et a vocation à être diffusée largement auprès de vos adhérents.

NB : ce mail est bien émis par la XXXXXXX, il ne s’agit pas d’un mail frauduleux. Il s’inscrit dans l’engagement que la XXXXXXX a pris envers le secrétaire d’Etat chargé de la transition numérique et des communications électroniques le 20 juillet 2021 de relayer les mails d’AlerteCyber. Pour toute question, vous pouvez contacter XXXXXXX au 01.47.XXXXXXX

artiflo · « **Réponse #1 le:** 18 janvier 2022 à 19:05:06 »

Citation de: vivien le 18 janvier 2022 à 17:36:47

Pourquoi faire une telle publicité pour cette faille aujourd'hui (l'alerte CyberMalveillance est datée d'aujourd'hui), corrigé dans le path-thesday de janvier, disponible depuis une semaine ?

L'ANSSI à communiqué dés le 12 Janvier 2022 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-001/

Je pense que c'est la diffusion de plusieurs POC facile le 17/01/21 et leurs utilisation qui à déclenché l'alerte.

Même chez OCD Threat Defense Center elle a été requalifiée le 17/01/21 de 3/5 à 4/5 du fait de son utilisation dans la nature.

En OS serveur seul Windows server 2022 (qui n'est pas encore très répandu) est vulnérable par défaut elle n'est pas exploitable dans la configuration par défaut de Windows 2019.

En OS client Windows 11, Windows 10 20H2, 21H1 et 21H2 sont vulnérables par défaut elle n'est pas exploitable dans la configuration par défaut Windows 10 1809.

Enfin Windows 10 1909 n'est pas vulnérable.

vivien · « **Réponse #2 le:** 18 janvier 2022 à 19:07:29 »

Windows 11 est vulnérable dans sa configuration par défaut (sans installation de composants additionnels) ?

artiflo · « **Réponse #3 le:** 18 janvier 2022 à 19:18:11 »

Sur Windows Server 2019 et Windows 10 1809, il suffit de chercher la clé "EnableTrailerSupport" dans HKLM:\System\CurrentControlSet\Services\HTTP\Parameters, si elle est positionnée à 1 on est vulnérable si elle est absente ou à 0 on n'est pas vulnérable (c'est aussi un contournement proposé par Microsoft si on peut pas mettre le patch rapidement).

Ce n'est pas une vulnérabilité lié à IIS mais au module http.sys alors il est certes utilisé par IIS mais pas uniquement il est aussi utilisé par WinRM, WSDAPI, etc.

Si tu fais un netsh cela te donne une bonne idée de ce qui l'utilise http.sys :

Code: [Sélectionner]

netsh http show servicestate