Van de negen kritieke kwetsbaarheden die Microsoft heeft opgelost in Patch dinsdag release van januari, de fout bij het uitvoeren van externe code in de HTTP-protocolstack (CVE-2022-21907) is een doozy. Het is van invloed op Windows-servers en -clients (alles dat http.sys kan draaien) en heeft een CVSS-score van 9.8 op een schaal van 10.0. Deze Tech Tip deelt inzichten van Dr. Johannes B. Ullrich, decaan onderzoek bij SANS Technology Institute, over hoe IT-beheerders kunnen controleren welke systemen worden beïnvloed.
De kwetsbaarheid is gericht op de ondersteuningsfunctie voor HTTP-trailers, waarmee een afzender extra velden in een bericht kan opnemen om metadata aan te leveren. Een aanvaller zou deze fout kunnen misbruiken door een speciaal vervaardigd pakket naar een doelserver te sturen met behulp van http.sys om pakketten te verwerken.
"Het uitvoeren van code via http.sys kan leiden tot een compleet systeemcompromis", schrijft Ullrich verder de FAQ-pagina van het SANS Institute over de kwetsbaarheid.
Het meest verontrustend is dat Microsoft zegt dat de fout wormbaar is, wat betekent dat menselijke interactie niet nodig is om een aanval van de ene kwetsbare Windows-box naar de andere te verspreiden. Zodra een aanvaller één systeem compromitteert, kan het zich gemakkelijk over het hele intranet van de organisatie verspreiden. Organisaties worden aangemoedigd om getroffen systemen te vinden en updates zo snel mogelijk te implementeren.
Hoe controleer ik mijn systeem?
De fout treft Windows 10 en Windows 11, evenals Server 2019 en Server 2022. Het lijkt erop dat de kwetsbare code is geïntroduceerd in Windows Server 2019 en Windows 10 versie 1809, maar standaard is uitgeschakeld. Ullrich stelt de volgende PowerShell-query voor om de registerwaarden te controleren om te bepalen of de kwetsbaarheid op het systeem bestaat:
Get-ItemProperty "HKLM:SystemCurrentControlSetServicesHTTPParameters" | Select-Object EnableTrailerSupport
Het is ook mogelijk dat andere software die http.sys gebruikt de kwetsbaarheid blootlegt, waaronder Microsoft Internet Information Service (IIS), WinRM (Windows Remote Management) en WSDAPI (Web Services for Devices). Ullrich merkt op dat http.sys kan worden omschreven als "de kern-HTTP-engine in IIS". Beheerders kunnen de opdracht netsh gebruiken om alle processen weer te geven die http.sys gebruiken.
netsh http toon servicestatus
Moet ik onmiddellijk patchen?
Microsoft beoordeelt de misbruikbaarheid als "exploitatie waarschijnlijker" en raadt aan dit beveiligingslek zo snel mogelijk te patchen. Om de zaken in context te plaatsen: toen Microsoft afgelopen mei een soortgelijke wormbare fout in de uitvoering van externe code in de HTTP-protocolstack (CVE-2021-31166) patchte, duurde het minder dan een week voordat proof-of-concept-code online werd geplaatst.
Ondanks zijn kritische beoordeling, kan de daadwerkelijke exploit uiteindelijk niet zo schadelijk zijn als het zou kunnen zijn, waarschuwt Ullrich. "Kwetsbaarheden uit het verleden werden nooit volledig benut, omdat verschillende technieken werden gebruikt om uitbuiting te beperken, en vrijgegeven PoC's konden alleen een denial of service veroorzaken", zegt hij. Er was in 2015 een "vergelijkbare brandoefening" voor een kwetsbaarheid door een integer-overflow die http.sys in IIS aantastte, maar "die stelde nooit veel voor".
Ullrich merkt op dat een firewall voor webapplicaties verzoeken met trailers zou kunnen blokkeren (waar de kwaadaardige code zou worden verborgen). Dat kan organisaties wat tijd schelen als ze het implementatieschema bepalen. Op dit moment hebben IT-teams een kans voordat PoC's of exploits worden gepubliceerd om hun blootstelling te beoordelen en gevonden problemen te verminderen.
