image

Microsoft verhelpt kritiek Windows-lek dat computerworm mogelijk maakt

woensdag 12 januari 2022, 11:31 door Redactie, 14 reacties

Microsoft heeft tijdens de eerste patchdinsdag van 2022 een kritieke kwetsbaarheid in Windows verholpen die een computerworm mogelijk maakt. Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk.

Door het versturen van een speciaal geprepareerd netwerkpakket naar een kwetsbare server die gebruikmaakt van deze stack (http.sys) voor het verwerken van pakketten kan een aanvaller zijn code uitvoeren en het systeem overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst is het beveiligingslek met een 9,8 beoordeeld. Volgens Microsoft, dat door onderzoeker Mikhail Medvedev over het lek werd geïnformeerd, is misbruik van de kwetsbaarheid "waarschijnlijk". Het techbedrijf raadt organisaties dan ook aan om het patchen van servers prioriteit te geven.

In het geval van Windows Server 2019 en Windows 10 versie 1809 staat de HTTP Trailer Support-feature, waarin de kwetsbaarheid aanwezig is, standaard niet ingeschakeld. Microsoft heeft updates beschikbaar gemaakt voor Windows 10, Windows 11, Server 2019, Server 2022 en Server 20H2. Vorig jaar verhielp Microsoft ook al een beveiligingslek in de http protocol stack die 'wormable' was.

Reacties (14)
12-01-2022, 13:09 door Anoniem
Ik neem aan dat een Apache server draaiend onder Windows geen gebruik maakt van de http.sys protocol stack?
(immers onder Linux zit dat allemaal in Apache zelf)
12-01-2022, 14:56 door Anoniem
Door Anoniem: Ik neem aan dat een Apache server draaiend onder Windows geen gebruik maakt van de http.sys protocol stack?
(immers onder Linux zit dat allemaal in Apache zelf)

netsh http show servicestate
12-01-2022, 15:49 door Anoniem
ik vind het nog steeds een vaag omschreven probleem. wanneer en waar wordt het nou gebruikt en onderwelke omstandigheden, kan het misbruikt worden? zo als het er staat zou je denken dat de hele wereld nu code rood heeft. maar dat lijkt me niet :P
12-01-2022, 19:56 door walmare
quote] Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk. [/quote]En daar gaan we weer. Het grote windows syndroom. Continue kritiek lek. Geen wonder dat bedrijven bezig zijn om te switchen voordat ze definitief op slot gaan ttps://www.security.nl/posting/737730/Noorse+hotelketen+stapt+na+ransomware-aanval+over+op+Chrome+OS
12-01-2022, 19:57 door walmare
Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk.
En daar gaan we weer. Het grote windows syndroom. Continue kritiek lek. Geen wonder dat bedrijven bezig zijn om te switchen voordat ze definitief op slot gaan ttps://www.security.nl/posting/737730/Noorse+hotelketen+stapt+na+ransomware-aanval+over+op+Chrome+OS
12-01-2022, 21:41 door Anoniem
pas op met patchen domain controllers. Er zijn meerdere meldingen van boot loops.
https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-dc-boot-loops-break-hyper-v/
13-01-2022, 09:07 door Anoniem
Door Anoniem: pas op met patchen domain controllers. Er zijn meerdere meldingen van boot loops.
https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-dc-boot-loops-break-hyper-v/
Cruciale servers, zoals DCs patch je niet tegelijk, maar één-voor-één. Zodat je altijd voldoende in de lucht houdt en bij problemen eerst die server kunt fixen, voor je organisatie onderuit gaat.
13-01-2022, 09:48 door Anoniem
Door walmare:
Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk.
En daar gaan we weer. Het grote windows syndroom. Continue kritiek lek. Geen wonder dat bedrijven bezig zijn om te switchen voordat ze definitief op slot gaan ttps://www.security.nl/posting/737730/Noorse+hotelketen+stapt+na+ransomware-aanval+over+op+Chrome+OS
Het probleem met Chrome OS is natuurlijk Google. Dus je verangt Windows met een "spy company". Ik zou heel graag willen dat mensen over gaan stappen op iets dat open en vrij is. Diversiteit is altijd beter dan een mono cultuur.
13-01-2022, 14:02 door Anoniem
Door walmare:
Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk.
En daar gaan we weer. Het grote windows syndroom. Continue kritiek lek. Geen wonder dat bedrijven bezig zijn om te switchen voordat ze definitief op slot gaan ttps://www.security.nl/posting/737730/Noorse+hotelketen+stapt+na+ransomware-aanval+over+op+Chrome+OS
hyper-v dus ook. Start niet meer op helaas. Wij gaan niet patchen :(
13-01-2022, 17:24 door Anoniem
Door Anoniem:
Door walmare:
Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk.
En daar gaan we weer. Het grote windows syndroom. Continue kritiek lek. Geen wonder dat bedrijven bezig zijn om te switchen voordat ze definitief op slot gaan ttps://www.security.nl/posting/737730/Noorse+hotelketen+stapt+na+ransomware-aanval+over+op+Chrome+OS
hyper-v dus ook. Start niet meer op helaas. Wij gaan niet patchen :(

Vwb Hyper-V: gaat over Windows 2012R2 systemen. Dat is nog wel in support, maar hopelijk zijn jullie al geupgrade naar een nieuwere versie.
13-01-2022, 17:34 door Anoniem
maar mooi spul hoor wat uit redmont komt!
13-01-2022, 17:36 door Anoniem
Door Anoniem:
Door Anoniem:
Door walmare:
Het beveiligingslek, aangeduid als CVE-2022-21907, bevindt zich in de http protocol stack en maakt zonder enige interactie van gebruikers remote code execution mogelijk.
En daar gaan we weer. Het grote windows syndroom. Continue kritiek lek. Geen wonder dat bedrijven bezig zijn om te switchen voordat ze definitief op slot gaan ttps://www.security.nl/posting/737730/Noorse+hotelketen+stapt+na+ransomware-aanval+over+op+Chrome+OS
hyper-v dus ook. Start niet meer op helaas. Wij gaan niet patchen :(

Vwb Hyper-V: gaat over Windows 2012R2 systemen. Dat is nog wel in support, maar hopelijk zijn jullie al geupgrade naar een nieuwere versie.
This bug primarily affects Windows Server 2012 R2 server, but other unverified reports say it affects newer versions of Windows Server.
14-01-2022, 17:17 door Anoniem
Microsoft verhelpt niet want de patches zijn ingetrokken!
Voor als je zin hebt een exploit te ontwikkelen: https://piffd0s.medium.com/patch-diffing-cve-2022-21907-b739f4108eee
Anders nog ff geduld: https://www.exploit-db.com/search?cve=CVE-2022-21907
Gisteren, 16:20 door Anoniem
Hopelijk de oplossing:

https://www.lansweeper.com/patch-tuesday/microsoft-releases-out-of-band-updates-for-critical-issues/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.