Kriittinen haavoittuvuus Windowsin http.sys-protokollapinossa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Windowsin http.sys-protokollapinossa

12. tammikuuta 2022 klo 13.30, päivitetty 14. tammikuuta 2022 klo 9.48

Haavoittuvuus Windows-käyttöjärjestelmien HTTP-protokollapinossa (http.sys-prosessissa) mahdollistaa hyökkääjän suorittavan etänä haitallisia komentoja palvelimelle tai työasemalle. Microsoft julkaisi korjauspäivityksen, joka on asennettava viipymättä.

Microsoft julkaisi päivitystiistaina 11.1. korjauksia lukuisille haavoittuvuuksille. Näiden joukosta http.sys-haavoittuvuus CVE-2022-21907 erottuu kriittisyydellään.

Http.sys-prosessi käsittelee HTTP-pyyntöjä ja haavoittuvuus on hyväksikäytettävissä, mikäli "Trailer"-ominaisuus on kytketty päälle. Osassa järjestelmiä HTTP Trailer Support -ominaisuus on oletuksena päällä. Haavoittuvuus voi mahdollistaa matomaisen leviämisen organisaatiossa ja Microsoft ohjeistaa päivittämään haavoittuneet palvelimet välittömästi.

Haavoittuvuus koskee eri Windows 10 ja 11-versioita Windows Server 2019, 2022 ja 20H2 lisäksi. Tarkemmat tiedot voit tarkistaa Windowsin sivuilta (ulkoinen linkki).

Haavoittuvuus koskee organisaatioita ja heidän ylläpitäjiä. Tavallisen käyttäjän tulee huolehtia, että omaan Windows-työasemaan on asennettu uusimmat päivitykset.

Haavoittuvuuden kohde

Eri versiot seuraavista, tarkemmat tiedot Microsoftin haavoittuvuussivulta (ulkoinen linkki)

Windows Server 2022
Windows Server 20H2

Windows 10 (1809 ei oletuksena haavoittuva)
Windows 11

Mistä on kysymys?

Uusimpien päivitysten asentaminen

Microsoftin haavoittuvuussivu
SANS julkaisu Microsoftin patch tuesday -haavoittuvuuksista

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

14. tammikuuta 2022 klo 9.48 Server 2019 ei oletuksena haavoittuva, kuten ei myöskään Windows 10 1809. Muokattu.