Détecter CVE-2022-21907 : Une RCE Ver-Wormable dans Windows Server
Table des matières :
Un jour de plus, une autre vulnérabilité critique causant un casse-tête majeur pour les professionnels de la sécurité. Cette fois, des chercheurs ont identifié une faille d’exécution de code à distance (RCE) qui peut se propager et qui impacte les dernières versions de Windows pour ordinateurs de bureau et serveurs. Le fournisseur exhorte tout le monde à mettre à jour leurs systèmes au plus vite car cette faille pourrait facilement être exploitée par des adversaires pour exécuter un code arbitraire sur les instances affectées.
Exploitation CVE-2022-21907
Le bug réside dans la pile de protocoles HTTP, un composant crucial appliqué par le serveur web des services d’information Internet de Windows pour héberger des pages web. En abusant de la fonctionnalité de prise en charge des bandes-annonces HTTP, des hackers non autorisés peuvent envoyer des paquets spécialement conçus au serveur en exploitant la pile de protocoles HTTP (http.sys) pour traiter les paquets et tromper le système afin qu’il exécute le code malveillant en leur nom. Notamment, aucune interaction utilisateur n’est requise pour procéder à l’intrusion.
Étant donné son score CVSS de 9,8, la nature de propagation du trou de sécurité et la faible complexité de la routine d’attaque, Microsoft exhorte à corriger la vulnérabilité sans délai. Comme rapporté par la conseilde l’éditeur, les versions Windows Server 2019, 20H2 et 2022 ainsi que les versions de bureau 10 et 11 ont été trouvées affectées.
Bien qu’aucune exploitation dans la nature n’ait été observée à ce jour, ce n’est qu’une question de temps avant que les adversaires n’armement des exploits pour le CVE-2022-21907. Les exploits PoC publics ont déjà été publiés pour cette vulnérabilité. Cependant, les chercheurs en sécurité se demandent si les PoC disponibles sont entièrement applicables pour les attaques en nature.
Détection CVE-2022-21907
La vulnérabilité a été corrigée par Microsoft avec sa dernière mise à jour Patch Tuesday le 11 janvier 2022. De plus, pour Windows Server 2019 et Windows 10 version 1809, des mesures d’atténuation sont disponibles puisque le code vulnérable n’est pas chargé par défaut mais uniquement lorsqu’une certaine clé de registre a été définie. Les utilisateurs doivent simplement désactiver la fonction de prise en charge des bandes-annonces HTTP pour rester en sécurité.
Pour renforcer vos défenses contre cette RCE qui peut se propager dans Windows Server et détecter les attaques possibles contre votre infrastructure, vous pouvez obtenir la règle Sigma gratuite disponible sur la plateforme Detection as Code de SOC Prime.
Les règles ci-dessous permettent de détecter l’activité malveillante associée aux exploits PoC publiés pour le CVE-2022-21907. En vue d’une discussion actuelle débattant de la validité des PoC publiés, l’équipe SOC Prime est prête à mettre en œuvre des mises à jour pertinentes aux règles existantes et à en créer de nouvelles suite à des déclarations officielles de sources fiables.
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Azure Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix et AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’accès initial avec l’exploitation de l’application exposée au public comme technique principale (T1190).
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix et Open Distro.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant les tactiques d’exécution et de découverte avec interprète de commandes et de scripts (T1059) et requête de registre (T1012) comme techniques principales.
Rejoignez gratuitement la plateforme Detection as Code de SOC Prime pour rechercher les dernières menaces dans votre environnement SIEM ou XDR, améliorer votre couverture de menaces en atteignant le contenu le plus pertinent aligné avec la matrice MITRE ATT&CK, et globalement renforcer les capacités de défense cyber de l’organisation. Les experts en sécurité sont également invités à rejoindre notre programme Threat Bounty pour monétiser leur propre contenu de détection.