Kwetsbaarheden verholpen in Microsoft Windows

Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
Publicatie Kans Schade    
  Versie 1.03 18-01-2022 NCSC-2022-0014  
 
high
high
 Signed-PGP →  
18-01-2022
high
high
 NCSC-2022-0014 [1.03] Signed-PGP →
Kenmerken

Kenmerken
  • Denial-of-Service (DoS)
  • Omzeilen van beveiligingsmaatregel
  • (Remote) code execution (Administrator/Root rechten)
  • (Remote) code execution (Gebruikersrechten)
  • Spoofing
  • Toegang tot gevoelige gegevens
  • Verhoogde gebruikersrechten
Omschrijving

Omschrijving

Microsoft heeft kwetsbaarheden verholpen in Windows. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:

  • Denial-of-Service (DoS)
  • Omzeilen van beveiligingsmaatregel
  • (Remote) code execution (Administrator/Root rechten)
  • (Remote) code execution (Gebruikersrechten)
  • Spoofing
  • Toegang tot gevoelige gegevens
  • Verhoogde gebruikersrechten

De kwetsbaarheden met kenmerk CVE-2022-21849 en CVE-2022-21907 hebben van Microsoft een CVSS score van 9.8 gekregen.

De kwetsbaarheid met kenmerk CVE-2022-21849 bevindt zich in de Microsoft IKE Key Exchange voor IPSec en kan alleen misbruikt worden wanneer IPSec actief is. Deze kwetsbaarheid stelt een kwaadwillende op afstand in staat om willekeurige code uit te voeren.

De kwetsbaarheid met kenmerk CVE-2022-21907 bevindt zich in de HTTP Protocol stack (http.sys) en stelt een ongeauthenticeerde kwaadwillende op afstand in staat om willekeurige code uit te voeren op het kwetsbare systeem door het versturen van speciaal geprepareerd netwerkverkeer. Op dit moment gaat er enkel Proof-of-Concept-code rond, maar zowel Microsoft als het NCSC verwachten dat op korte termijn publieke exploits beschikbaar komen. Daarbij geeft Microsoft aan dat deze kwetsbaarheid mogelijk kan leiden tot een worm. Vanwege dit dreigingsbeeld en het gegeven dat de HTTP Protocol stack gebruikt wordt door veel services die voor inter- of intranet zijn ontsloten, geeft het NCSC dit beveiligingsadvies de inschaling HIGH/HIGH en adviseert om de beveiligingsupdate met spoed in te zetten. De kwetsbaarheid met kenmerk CVE-2022-21882 wordt volgens Microsoft op beperkte schaal actief misbruikt. Een lokale, geauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken om verhoogde rechten te verkrijgen.

In onderstaande tabellen is een overzicht te vinden van de kwetsbaarheden die door Microsoft zijn verholpen.

Windows Remote Access Connection Manager:

CVE-IDCVSSImpact
CVE-2022-218857,80Verkrijgen van verhoogde rechten
CVE-2022-219147,80Verkrijgen van verhoogde rechten

Windows HTTP Protocol Stack:

CVE-IDCVSSImpact
CVE-2022-219079,80Uitvoeren van willekeurige code

Windows Diagnostic Hub:

CVE-IDCVSSImpact
CVE-2022-218717,00Verkrijgen van verhoogde rechten

Windows Defender:

CVE-IDCVSSImpact
CVE-2022-219065,50Omzeilen van beveiligingsmaatregel
CVE-2022-219214,40Omzeilen van beveiligingsmaatregel

Windows StateRepository API:

CVE-IDCVSSImpact
CVE-2022-218637,00Verkrijgen van verhoogde rechten

Windows Remote Desktop:

CVE-IDCVSSImpact
CVE-2022-219645,50Toegang tot gevoelige gegevens

Windows Resilient File System (ReFS):

CVE-IDCVSSImpact
CVE-2022-218926,80Uitvoeren van willekeurige code
CVE-2022-219586,80Uitvoeren van willekeurige code
CVE-2022-219596,80Uitvoeren van willekeurige code
CVE-2022-219606,80Uitvoeren van willekeurige code
CVE-2022-219616,80Uitvoeren van willekeurige code
CVE-2022-219626,80Uitvoeren van willekeurige code
CVE-2022-219636,40Uitvoeren van willekeurige code
CVE-2022-219286,30Uitvoeren van willekeurige code

Windows Bind Filter Driver:

CVE-IDCVSSImpact
CVE-2022-218587,80Verkrijgen van verhoogde rechten

Windows Active Directory:

CVE-IDCVSSImpact
CVE-2022-218578,80Verkrijgen van verhoogde rechten

Tablet Windows User Interface:

CVE-IDCVSSImpact
CVE-2022-218707,00Verkrijgen van verhoogde rechten

Windows Kernel:

CVE-IDCVSSImpact
CVE-2022-218795,50Verkrijgen van verhoogde rechten
CVE-2022-218817,00Verkrijgen van verhoogde rechten

Windows Geolocation Service:

CVE-IDCVSSImpact
CVE-2022-218787,80Uitvoeren van willekeurige code

Windows Workstation Service Remote Protocol:

CVE-IDCVSSImpact
CVE-2022-219245,30Omzeilen van beveiligingsmaatregel

Windows Application Model:

CVE-IDCVSSImpact
CVE-2022-218627,00Verkrijgen van verhoogde rechten

Microsoft Windows Codecs Library:

CVE-IDCVSSImpact
CVE-2022-219177,80Uitvoeren van willekeurige code

Windows Remote Procedure Call Runtime:

CVE-IDCVSSImpact
CVE-2022-219228,80Uitvoeren van willekeurige code

Windows Connected Devices Platform Service:

CVE-IDCVSSImpact
CVE-2022-218657,00Verkrijgen van verhoogde rechten

Windows System Launcher:

CVE-IDCVSSImpact
CVE-2022-218667,00Verkrijgen van verhoogde rechten

Microsoft Graphics Component:

CVE-IDCVSSImpact
CVE-2022-219156,50Toegang tot gevoelige gegevens
CVE-2022-218807,50Toegang tot gevoelige gegevens
CVE-2022-219037,00Verkrijgen van verhoogde rechten
CVE-2022-219047,50Toegang tot gevoelige gegevens

Windows Task Flow Data Engine:

CVE-IDCVSSImpact
CVE-2022-218617,00Verkrijgen van verhoogde rechten

Windows IKE Extension:

CVE-IDCVSSImpact
CVE-2022-218437,50Denial-of-Service
CVE-2022-218837,50Denial-of-Service
CVE-2022-218487,50Denial-of-Service
CVE-2022-218499,80Uitvoeren van willekeurige code
CVE-2022-218897,50Denial-of-Service
CVE-2022-218907,50Denial-of-Service

Windows RDP:

CVE-IDCVSSImpact
CVE-2022-218938,80Uitvoeren van willekeurige code
CVE-2022-218508,80Uitvoeren van willekeurige code, Toegang tot gevoelige gegevens
CVE-2022-218518,80Uitvoeren van willekeurige code

Windows Clipboard User Service:

CVE-IDCVSSImpact
CVE-2022-218697,00Verkrijgen van verhoogde rechten

Windows Cluster Port Driver:

CVE-IDCVSSImpact
CVE-2022-219107,80Verkrijgen van verhoogde rechten

Windows Certificates:

CVE-IDCVSSImpact
CVE-2022-218367,80Voordoen als andere gebruiker

Windows Security Center:

CVE-IDCVSSImpact
CVE-2022-218747,80Uitvoeren van willekeurige code

Windows Cleanup Manager:

CVE-IDCVSSImpact
CVE-2022-218385,50Verkrijgen van verhoogde rechten

Windows Cryptographic Services:

CVE-IDCVSSImpact
CVE-2022-218357,80Verkrijgen van verhoogde rechten

Open Source Software:

CVE-IDCVSSImpact
CVE-2021-22947onb.Uitvoeren van willekeurige code

Windows Local Security Authority Subsystem Service:

CVE-IDCVSSImpact
CVE-2022-218847,80Verkrijgen van verhoogde rechten

Windows Devices Human Interface:

CVE-IDCVSSImpact
CVE-2022-218687,00Verkrijgen van verhoogde rechten

Windows Common Log File System Driver:

CVE-IDCVSSImpact
CVE-2022-219167,80Verkrijgen van verhoogde rechten
CVE-2022-218977,80Verkrijgen van verhoogde rechten

Windows Libarchive:

CVE-IDCVSSImpact
CVE-2021-36976onb.Uitvoeren van willekeurige code

Windows User-mode Driver Framework:

CVE-IDCVSSImpact
CVE-2022-218347,00Verkrijgen van verhoogde rechten

Windows Kerberos:

CVE-IDCVSSImpact
CVE-2022-219208,80Verkrijgen van verhoogde rechten

Windows Secure Boot:

CVE-IDCVSSImpact
CVE-2022-218944,40Omzeilen van beveiligingsmaatregel

Windows Installer:

CVE-IDCVSSImpact
CVE-2022-219087,80Verkrijgen van verhoogde rechten

Windows AppContracts API Server:

CVE-IDCVSSImpact
CVE-2022-218607,00Verkrijgen van verhoogde rechten

Windows UI Immersive Server:

CVE-IDCVSSImpact
CVE-2022-218647,00Verkrijgen van verhoogde rechten

Windows Event Tracing:

CVE-IDCVSSImpact
CVE-2022-218396,10Denial-of-Service
CVE-2022-218727,00Verkrijgen van verhoogde rechten

Windows Storage:

CVE-IDCVSSImpact
CVE-2022-218757,00Verkrijgen van verhoogde rechten

Windows Win32K:

CVE-IDCVSSImpact
CVE-2022-218765,50Toegang tot gevoelige gegevens
CVE-2022-218827,00Verkrijgen van verhoogde rechten
CVE-2022-218877,00Verkrijgen van verhoogde rechten

Windows Push Notifications:

CVE-IDCVSSImpact
CVE-2022-218677,00Verkrijgen van verhoogde rechten

Windows DirectX:

CVE-IDCVSSImpact
CVE-2022-219186,50Denial-of-Service
CVE-2022-219127,80Uitvoeren van willekeurige code
CVE-2022-218987,80Uitvoeren van willekeurige code

Windows Modern Execution Server:

CVE-IDCVSSImpact
CVE-2022-218887,80Uitvoeren van willekeurige code

Windows Account Control:

CVE-IDCVSSImpact
CVE-2022-218597,00Verkrijgen van verhoogde rechten

Windows UEFI:

CVE-IDCVSSImpact
CVE-2022-218995,50Omzeilen van beveiligingsmaatregel

Role: Windows Hyper-V:

CVE-IDCVSSImpact
CVE-2022-219004,60Omzeilen van beveiligingsmaatregel
CVE-2022-219019,00Verkrijgen van verhoogde rechten
CVE-2022-219054,60Omzeilen van beveiligingsmaatregel
CVE-2022-218476,50Denial-of-Service

Windows Local Security Authority:

CVE-IDCVSSImpact
CVE-2022-219135,30Omzeilen van beveiligingsmaatregel

Windows Tile Data Repository:

CVE-IDCVSSImpact
CVE-2022-218737,00Verkrijgen van verhoogde rechten

Windows Storage Spaces Controller:

CVE-IDCVSSImpact
CVE-2022-218775,50Toegang tot gevoelige gegevens

Windows DWM Core Library:

CVE-IDCVSSImpact
CVE-2022-218527,80Verkrijgen van verhoogde rechten
CVE-2022-219027,80Verkrijgen van verhoogde rechten
CVE-2022-218967,00Verkrijgen van verhoogde rechten

Windows Virtual Machine IDE Drive:

CVE-IDCVSSImpact
CVE-2022-218337,80Verkrijgen van verhoogde rechten

Windows BackupKey Remote Protocol:

CVE-IDCVSSImpact
CVE-2022-219255,30Omzeilen van beveiligingsmaatregel

Windows User Profile Service:

CVE-IDCVSSImpact
CVE-2022-219197,00Verkrijgen van verhoogde rechten
CVE-2022-218957,80Verkrijgen van verhoogde rechten
Bereik

Bereik
Platforms Producten Versies

Microsoft Windows
Oplossingen

Oplossingen

Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds [Link]

Een lijst met out-of-band-updates die eerdere problemen met een select aantal patches moet oplossen is hier te vinden [Link]

Over de kwetsbaarheid met kenmerk CVE-2022-21907 kunt u meer vinden op [Link]

Microsoft heeft op bovenstaande pagina aangegeven welke software kwetsbaar is voor de kwetsbaarheid met kenmerk CVE-2022-21907. Windows Server 2019 en Windows 10 versie 1809 zijn alleen kwetsbaar als de volgende registry key is ingesteld:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\

"EnableTrailerSupport"=dword:00000001

Windows Server 2019 (Server Core installation)
Windows Server 2019 Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

Alle andere versies die Microsoft heeft genoemd zijn standaard kwetsbaar. Hieronder hebben wij de tabel van Microsoft voor de duidelijkheid toegevoegd.

Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems

--- Gebruik proxies, loadbalancers, IDS/IPS:

Op dit moment heeft het NCSC niet genoeg informatie over de werking van de kwetsbaarheid om te kunnen beoordelen of een proxy, loadbalancer of een IDS/IPS effectief is tegen misbruik van de kwetsbaarheid in http.sys. Wanneer er meer duidelijk wordt over de kwetsbaarheid zal per applicatie of per product moeten worden bekeken wat de impact op mitigatie is. Mocht er op een later moment meer duidelijkheid over komen zullen wij dit beveiligingsadvies updaten.

--- Additionele maatregelen:

Misbruik van de kwetsbaarheid in http.sys zal op het netwerk lastig waar te nemen zijn bij gebruik van HTTPS. Host based detectie biedt in dat geval meer mogelijkheden. Wij geven graag een aantal suggesties om relevante logging op uw internet facing servers aan te zetten. In veel gevallen gaat het om log opties die standaard uit staan. Via Group Policy Settings (GPO's) kan deze logging alsnog worden aangezet. Onderstaande opties zijn geen beschermende of mitigerende maatregelen. Zij kunnen wel van toegevoegde waarde zijn wanneer IOC's of detectiemogelijkheden beschikbaar komen. De opgebouwde logging kan dan behulpzaam zijn bij het bepalen of er van compromittatie sprake is (geweest).

1. Command Line Process Auditing (extra informatie bij Event-ID 4688: Process Creation Events) Het inschakelen van deze optie vereist twee stappen. GPO 1: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration -> Detailed Tracking Audit Process Creation. Option: Enabled. Configure for: All. GPO 2: Administrative Templates -> System -> Audit Process Creation Include command line in process creation events. Option: Enabled. Configure for: All

2. PowerShell Script Block logging (details over PowerShell-bewerkingen en het uitvoeren van PowerShell-opdrachten) GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell Turn on PowerShell Script Block Logging. Option: Enabled. Configure for: All.

3. Object Access (details over bewerkingen op bijvoorbeeld bestanden, register, printers, etc) GPO: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Object Access Deze GPO bevat een subset waar u kunt kiezen wat er wordt geregistreerd. Het advies is om tenminste de volgende onderdelen in te schakelen: Registry/Audit Registry. Option: Success. Configure for: All. Process Access/Audit Kernel Object. Option: Success. Configure for: All Aanvullende logging mogelijkheden kunt u bijvoorbeeld terugvinden onder logging-essentials [99]. Hierin vindt u onder andere adviezen over het vergroten van uw logretentie.

99 [Link]
CVE’s

CVE’s

CVE-2021-22947, CVE-2021-36976, CVE-2022-21833, CVE-2022-21834, CVE-2022-21835, CVE-2022-21836, CVE-2022-21838, CVE-2022-21839, CVE-2022-21843, CVE-2022-21847, CVE-2022-21848, CVE-2022-21849, CVE-2022-21850, CVE-2022-21851, CVE-2022-21852, CVE-2022-21857, CVE-2022-21858, CVE-2022-21859, CVE-2022-21860, CVE-2022-21861, CVE-2022-21862, CVE-2022-21863, CVE-2022-21864, CVE-2022-21865, CVE-2022-21866, CVE-2022-21867, CVE-2022-21868, CVE-2022-21869, CVE-2022-21870, CVE-2022-21871, CVE-2022-21872, CVE-2022-21873, CVE-2022-21874, CVE-2022-21875, CVE-2022-21876, CVE-2022-21877, CVE-2022-21878, CVE-2022-21879, CVE-2022-21880, CVE-2022-21881, CVE-2022-21882, CVE-2022-21883, CVE-2022-21884, CVE-2022-21885, CVE-2022-21887, CVE-2022-21888, CVE-2022-21889, CVE-2022-21890, CVE-2022-21892, CVE-2022-21893, CVE-2022-21894, CVE-2022-21895, CVE-2022-21896, CVE-2022-21897, CVE-2022-21898, CVE-2022-21899, CVE-2022-21900, CVE-2022-21901, CVE-2022-21902, CVE-2022-21903, CVE-2022-21904, CVE-2022-21905, CVE-2022-21906, CVE-2022-21907, CVE-2022-21908, CVE-2022-21910, CVE-2022-21912, CVE-2022-21913, CVE-2022-21914, CVE-2022-21915, CVE-2022-21916, CVE-2022-21917, CVE-2022-21918, CVE-2022-21919, CVE-2022-21920, CVE-2022-21921, CVE-2022-21922, CVE-2022-21924, CVE-2022-21925, CVE-2022-21928, CVE-2022-21958, CVE-2022-21959, CVE-2022-21960, CVE-2022-21961, CVE-2022-21962, CVE-2022-21963, CVE-2022-21964
Kans

Kans

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.

high
 ∑ = 30
Is de kwetsbaarheid aanwezig in de standaard configuratie/ installatie? Onduidelijk/Ja 3
Is er exploit-code beschikbaar? Proof of Concept (PoC) 4
Wordt de kwetsbaarheid in de praktijk gebruikt? Nee (nog niet) 1
Zijn er technische details beschikbaar? Nee (nog niet) 1
Welke toegang is er nodig? Internet 6
Vereiste credentials Geen 4
Hoe moeilijk is het om de kwetsbaarheid uit te buiten? Gemiddeld 2
Is er gebruikers interactie nodig? Geen handelingen 4
Wordt misbruik of een exploit verwacht? Ja binnenkort 3
Is er een oplossing beschikbaar? Korter dan twee maanden 2
Schade

Schade

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.

high
Denial of Service Ja, Client
medium
Uitvoeren van willekeurige code Ja, Root/Administrator-rechten
high
Rechten op afstand (remote [root-] shell) Nee
low
Verwerven lokale admin/root-rechten (privilege escalation) Ja
medium
Lekken van (gevoelige) informatie Ja, Gebruikersdata
high
  Versie 1.03 18-01-2022 NCSC-2022-0014  
 
high
high
 Signed-PGP →  
18-01-2022
high
high
 NCSC-2022-0014 [1.03] Signed-PGP →
Update

Update

De afgelopen dagen kwamen er signalen dat systemen na het uitvoeren van een aantal updates ongewenst gedrag vertoonden. Microsoft heeft inmiddels out-of-band patches uitgebracht die deze problemen zouden moeten oplossen. Een lijst is te vinden onder 'Mogelijke oplossingen'
  Versie 1.02 17-01-2022 NCSC-2022-0014  
 
high
high
 Signed-PGP →  
17-01-2022
high
high
 NCSC-2022-0014 [1.02] Signed-PGP →
Update

Update

Microsoft geeft aan dat er beperkt actief misbruik wordt gezien van de kwetsbaarheid met kenmerk CVE-2022-21882. Inschaling blijft onveranderd HIGH/HIGH.
  Versie 1.01 12-01-2022 NCSC-2022-0014  
 
high
high
 Signed-PGP →  
12-01-2022
high
high
 NCSC-2022-0014 [1.01] Signed-PGP →
Update

Update

Met de update van dit beveiligingsadvies proberen wij de volgende vragen die wij hebben binnengekregen te beantwoorden:

  • Welke versies van Windows en Windows server zijn kwetsbaar voor de kwetsbaarheid met kenmerk CVE-2022-21907?
  • In hoeverre heeft het gebruik van reverse-proxies, loadbalancers en IDS of IPS invloed op de uitbuitbaarheid van deze kwetsbaarheid?

Zie het "oplossingen" veld voor meer informatie.
  Versie 1.00 11-01-2022 NCSC-2022-0014  
 
high
high
 Signed-PGP →  
11-01-2022
high
high
 NCSC-2022-0014 [1.00] Signed-PGP →

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.