AVIS CERTFR - 2021 - ALE - 009
Publié le 12 mai 2021 à 20h00 - Mis à jour le 31 janvier 2025 à 10h27
Objet
Vulnérabilité dans Microsoft Windows
Référence
CERTFR-2021-ALE-009
Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- Windows Server version 20H2
- Windows Server version 2004
- Windows 10 version 20H2
- Windows 10 version 2004
Résumé
Le système d'exploitation Microsoft Windows propose un service de gestion des requêtes HTTP sous la forme d'un pilote en mode noyau appelé http.sys. Une vulnérabilité a été découverte dans ce pilote pour Windows Server et Windows 10. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et l'éditeur considère qu'elle peut être exploitée dans le cadre d'attaques à propagation de type "ver informatique".
Le pilote http.sys est notamment utilisé par Microsoft IIS, le service Windows Remote Management (WinRM) ainsi que le service SSDP. Il est donc présent sur les serveurs mais également sur les postes de travail. Par conséquent, le CERT-FR recommande de considérer que l'ensemble des machines utilisant une version de Windows affectée est vulnérable.
La vulnérabilité a été découverte par l'éditeur, cependant la probabilité que des codes d'attaques soient mis au point rapidement est très élevée.
Solution
Le CERT-FR recommande de procéder sans délai à la mise à jour des systèmes d'exploitation affectés en commençant par les machines exposées sur des réseaux non sécurisés.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft CVE-2021-31166 du 11 mai 2021 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166
- Avis de sécurité CERT-FR CERTFR-2021-AVI-367 du 12 mai 2021 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-367/
- Référence CVE CVE-2021-CVE-2021-31166 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-CVE-2021-31166