Gisteren was de eerste Patch Tuesday van 2022, met meer dan 100 beveiligingsbugs opgelost.

We schreven een overzicht van de updates, zoals we elke maand doen, op onze zustersite news.sophos.com: Eerste patch dinsdag van 2022 repareert 102 bugs.

Ten goede of ten kwade heeft de ene update meer de aandacht van de media getrokken dan de andere, namelijk CVE-2022-21907, beter bekend als Beveiligingslek met betrekking tot uitvoering van externe code door HTTP-protocolstack.

Deze bug was een van de zeven beveiligingslekken van deze maand die konden leiden tot uitvoering van externe code (RCE), het soort bug dat betekent dat iemand van buiten je netwerk een computer in je netwerk kan misleiden om een ​​of ander programma uit te voeren zonder eerst om toestemming te vragen .

U hoeft niet vooraf in te loggen; geen pop-upwaarschuwing aan de andere kant; Nee Are you sure (Y/N)? vragen.

Geef gewoon de opdracht en de malware wordt uitgevoerd.

Dat is in ieder geval de theorie.

RCE-bugs die als wormbaar worden beschouwd

Een ding om te onthouden over de meeste RCE-kwetsbaarheden is dat als u de computer van iemand anders van buitenaf kunt aanvallen en deze kunt instrueren om een ​​kwaadaardig programma van uw keuze uit te voeren...

… dan is het mogelijk, misschien zelfs waarschijnlijk, dat je het zou kunnen vertellen om precies hetzelfde programma uit te voeren dat je zelf zojuist hebt gebruikt om je eigen aanval te lanceren.

Met andere woorden, u kunt de kwetsbaarheid mogelijk gebruiken om Slachtoffer 1 te lokaliseren en te infecteren met een kwaadaardig programma W dat Slachtoffer 1 instrueert om Slachtoffer 2 te lokaliseren en te infecteren met een kwaadaardig programma W dat Slachtoffer 2 instrueert Slachtoffer 3 te lokaliseren en te infecteren... enzovoort. , misschien zelfs tot in het oneindige.

Bij een aanval als deze geven we het programma W een speciale naam: we noemen het a worm.

Wormen vormen een geschikte subset van een type schadelijke software (of malware kortweg) algemeen bekend als computer virussen, de overkoepelende term voor zelfreplicerende malware van welke aard dan ook.

Dit betekent dat de meeste RCE-bugs, althans in theorie, wormbaar, wat betekent dat ze mogelijk kunnen worden misbruikt om een ​​reeks automatische, zichzelf verspreidende en zichzelf onderhoudende malware-infecties op gang te brengen.

De redenering hier ligt voor de hand: als een RCE-bug je toestaat om een willekeurig programma van uw eigen keuze op de computer van iemand anders, zoals pop-up CALC.EXE of lanceren NOTEPAD, dan kun je vrijwel zeker een specifiek programma naar keuze, zoals een worm.

Sommige bugs zijn beter ontwormbaar dan andere

Zoals je je kunt voorstellen, worden sommige soorten RCE-bugs als veel meer ontwormbaar beschouwd dan andere, met name bugs die direct kunnen worden geactiveerd via een eenvoudige netwerkinteractie.

Dat was een risico van grote zorg in de afgelopen tijd Log4Shell-sage, waar een enkel webverzoek met een boobytrap met een merkwaardige maar overigens niet-uitzonderlijke ASCII-tekst erin kan leiden tot het uitvoeren van willekeurige externe code.

Helaas is CVE-2022-21907 een bug in dezelfde categorie als die van Microsoft eigen beveiligingsbulletin expliciet het volgende zeggen in de FAQ-sectie:

*Hoe kan een aanvaller dit beveiligingslek misbruiken?* In de meeste situaties kan een niet-geverifieerde aanvaller een speciaal vervaardigd pakket naar een gerichte server sturen met behulp van de HTTP Protocol Stack (HTTP.sys) om pakketten te verwerken. *Is dit ontwormbaar?* Ja. Microsoft raadt aan prioriteit te geven aan het patchen van getroffen servers.

Heeft dit iets met IIS te maken?

Waar en hoe werkt de HTTP-protocolstack geactiveerd worden?

Is dit een probleem dat uniek is voor Windows-servers, zoals het bulletin van Microsoft aangeeft als het gaat om het patchen van "getroffen servers"?

Hangt de aanval ervan af of u een bekende webserver hebt, zoals Microsoft IIS (Internet Information Services) al geïnstalleerd en geactiveerd?

De antwoorden op deze vragen zijn als volgt:

• HTTP.sys is onderdeel van Windows en is beschikbaar voor elk programma dat ASP.NET gebruikt.
• HTTP.sys werkt op Windows 7-clients en later.
• HTTP.sys werkt op Windows 2008 R2-servers en later.
• HTTP.sys maakt geen deel uit van IIS, en vereist niet dat IIS wordt geïnstalleerd.

Het laatste punt hierboven maakt duidelijk dat u mogelijk een willekeurig aantal apps in gebruik heeft – misschien zonder het te beseffen – die een op HTTP gebaseerde interface bieden via HTTP.sys, of u nu IIS hebt geïmplementeerd of niet.

In de eigen documentatie van Microsoft wordt dat zelfs vermeld "HTTP.sys is handig […] waar het nodig is om de server rechtstreeks aan internet bloot te stellen zonder IIS te gebruiken."

IIS is inderdaad gebaseerd op HTTP.sys, niet andersom, zoals Microsoft uitlegt:

HTTP.sys is volwassen technologie die bescherming biedt tegen vele soorten aanvallen en de robuustheid, veiligheid en schaalbaarheid biedt van een complete webserver. IIS draait zelf als een HTTP-listener bovenop HTTP.sys.

Simpel gezegd: in theorie zou je apps kunnen hebben geïnstalleerd, zelfs op een desktop- of laptopcomputer, die een soort webgebaseerde interface bieden die wordt bediend door de HTTP.sys-stuurprogrammacode.

De zilveren voering, althans voor sommige gebruikers, is dat het deel van HTTP.sys dat de CVE-2022-21907-bug bevat:

• Beïnvloedt alleen Windows 10 en hoger desktopversies.
• Heeft alleen invloed op Windows Server 2019 en later serverversies.
• Staat standaard niet aan op Windows Server 2019.
• Kan worden geïmmuniseerd tegen deze bug simpelweg door de Patch Tuesday-updates van januari 2022 te installeren.

Voor zover we kunnen nagaan, is de reden dat dit beveiligingslek niet aanwezig is in eerdere versies van Windows en Windows Server, dat de bug werd gevonden in de code die zich bezighoudt met HTTP-trailers (deze lijken op HTTP-headers, behalve dat ze na de HTTP-gegevens in plaats van ervoor); Ondersteuning voor HTTP-trailer is pas toegevoegd na ondersteuning voor HTTP/2; en HTTP/2-ondersteuning kwam pas in het Windows 10-tijdperk.

Wat te doen?

Als u echt niet meteen kunt patchen en als u weet dat u geen webgebaseerde software gebruikt (of in ieder geval niet van plan bent te gebruiken) die HTTP.sys gebruikt, kunt u HTTP.sys tijdelijk blokkeren op uw computer door de volgende registervermelding in te stellen:

HKLMSYSTEMCurrentControlSetServiceHTTPStart = DWORD(4)

De gebruikelijke waarde van deze registervermelding is 3, ter aanduiding “start op aanvraag”; het veranderen van de waarde naar 4 markeert de driver als "service uitgeschakeld".

Na een herstart kunt u de status van HTTP.sys controleren vanaf een gewone opdrachtprompt met de SC (Service Controle) commando:

C:Usersduck> sc query HTTP SERVICE_NAME: HTTP TYPE: 1 KERNEL_DRIVER STATE: 1 STOPPED <--voordat de registerhack hierboven werd toegepast, zei deze regel: "4 RUNNING" WIN32_EXIT_CODE: 1077 (0x435) SERVICE_EXIT_CODE: 0 (0x0) CHECKPOINT: 0x0 WAIT_HINT : 0x0 C:Usersduck>

Merk op dat we deze tijdelijke oplossing alleen op de meest vluchtige manier hebben getest. We hebben Server 2022 geïnstalleerd, IIS ingeschakeld, een startpagina gemaakt en vanaf een andere computer geverifieerd dat het werkte. We hebben de startwaarde van de service voor HTTP gewijzigd in 4, zoals hierboven gesuggereerd, en opnieuw opgestart. Onze IIS-server was niet meer bereikbaar. We hebben de registervermelding teruggezet naar 3, opnieuw opgestart en geverifieerd dat IIS automatisch weer tot leven kwam. Hieruit leiden we af dat het uitschakelen van de HTTP-service inderdaad HTTP-gebaseerde netwerktoegang blokkeert tot software van een hoger niveau die anders aan deze bug zou kunnen worden blootgesteld, en we gaan ervan uit dat dit de kwetsbaarheid tijdelijk "niet-triggerbaar" maakt.

Onze belangrijkste aanbevelingen zijn:

• Ga ervan uit dat alle RCE-kwetsbaarheden wormbaar zijn. Zoals eerder vermeld, vormen bugs die direct kunnen worden geactiveerd via routinematige netwerkverbindingen verreweg het grootste risico om "ontwormd" te raken, maar in theorie kan elke bug die willekeurige externe code-uitvoering mogelijk maakt, wormcode-uitvoering mogelijk maken.
• Ga ervan uit dat cybercriminelen hier al actief in graven en alle andere RCE-vulns deze Patch Tuesday hebben aangekondigd. Je hebt waarschijnlijk de grap gehoord dat Patch Tuesday wordt gevolgd door Exploit Wednesday. Daar zit meer dan een kern van waarheid in, gezien het feit dat zelfs closed-source patches vaak achteruit kunnen worden geworsteld - reverse-engineering, in het jargon – om de innerlijke details van de bug die ze voorkomen te onthullen. (En zie punt 1.)
• Vroeg patchen, vaak patchen. Gebruik tijdelijke oplossingen niet als een routinematig onderdeel van uw patchproces om elke keer extra tijd te winnen. Patch uit voorkeur en houd tijdelijke oplossingen voor situaties waarin u het patchen echt een tijdje moet uitstellen. (En zie punt 1 en 2.)

Wacht niet langer... doe het vandaag nog!

MEER INFORMATIE OVER DE PATCH VAN JANUARI 2022 DINSDAG