Skip to main content
Nu hulp nodig bij een cyberincindent?
Bel 24/7: 088-2747800

HTTP Protocol Stack Kwetsbaarheid

Door 12 januari 2022 CERT, SOC, Kwetsbaarheid

Deze liveblog bevat informatie over een HTTP Protocol Stack Kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst.

Update 12 januari 2022

14:00 | Tijdens de patch Tuesday van januari heeft Microsoft patches uitgebracht voor 96 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een remote code execution kwetsbaarheid in HTTP Protocol Stack (http.sys), die is geregistreerd als CVE-2022-21907. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren.

Wij adviseren om na te gaan of uw producten kwetsbaar zijn en de beschikbare software updates of workaround zo snel mogelijk toe te passen.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Potentieel risico

Tijdens de patch Tuesday van januari heeft Microsoft patches uitgebracht voor 96 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een HTTP Protocol remote code execution kwetsbaarheid in http.sys, geregistreerd als CVE-2022-21907. Deze kwetsbaarheid heeft een CVSS-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en kent doorgaans een grote kans op uitbuiting met grote impact. De kwetsbaarheid CVE-2022-21907 is een kwetsbaarheid die een aanvaller de mogelijkheid geeft om ongeautoriseerd op afstand code uit te voeren.

De kwetsbaarheid bestaat in de HTTP Trailer Support feature in http.sys. Houd er rekening mee dat http.sys niet alleen als servercomponent wordt gebruikt, maar dat ook clients gebruik maken van http.sys. Clients die verbinding maken met een malafide webserver kunnen ook worden misbruikt.

Detailinfo

Middels de kwetsbaarheid kan een aanvaller ongeautoriseerd op afstand kwaadaardige verzoeken of reacties versturen om zo code uit te voeren op het getroffen systeem. Doordat de kwetsbaarheid wormable is, kan een aanvaller zich lateraal bewegen vanaf een public ontsloten systeem naar interne systemen. Daarnaast, omdat het zowel een client als een server kwetsbaarheid betreft, kan ook een geïnfecteerde client andere systemen infecteren.

Van alle ondersteunde Windows versies, zijn de volgende versies kwetsbaar:

  • Van alle ondersteunde Windows versies, zijn de volgende versies kwetsbaar:
    • Windows 10
    • Windows 10 versie 1809 – De HTTP Trailer Support feature is standaard uitgeschakeld.
    • Windows 11
    • Windows Server 2019 – De HTTP Trailer Support feature is standaard uitgeschakeld.
    • Windows Server 2022
    • Windows Server 20H2

Microsoft heeft op 11 januari 2022 een update uitgebracht. Het advies is om deze update zo snel mogelijk te installeren.

Als workaround, kan in het register de key HKLM:\System\CurrentControlSet\Services\HTTP\Parameter\EnableTrailerSupport op 0 worden gezet, waardoor de feature HTTP Trailer Support wordt uitgeschakeld. Voor Windows Server 2019 en Windows 10 versie 1809 is de HTTP Trailer Support feature standaard niet actief, en heeft deze key standaard de waarde 0.

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu