Microsoft dicht aantal ernstige kwetsbaarheden in Windows en Windows Server

Tijdens de eerste Patch Tuesday van 2022 heeft Microsoft een aantal kritieke kwetsbaarheden gedicht in Windows en Windows Server. Een van de meest ernstige kwetsbaarheden zit in het HTTP Protocol Stack en stelt kwaadwillenden in staat om op afstand code uit te voeren op een pc.

De maandelijkse beveiligingsupdate van Windows dicht in januari een hele reeks van 96 grotere en kleinere bugs in verschillende Windows-onderdelen, Office, Teams, Exchange Server, Edge en .NET Framework. Twee kwetsbaarheden hebben een CVSS-score gekregen van 9,8, wat betekent dat zij zeer kritiek zijn. Het gaat om CVE-2022-21907 en CVE-2022-21849.

De eerste is een rce-kwetsbaarheid die kwaadwillenden in staat stelt om op afstand code uit te voeren door een Windows-computer een packet te sturen die gebruik maakt van HTTP Protocol Stack. De aanvaller hoeft daarvoor de gebruiker niet een actie te laten uitvoeren en hij hoeft geen privileges in het systeem te hebben. Daardoor is deze kwetsbaarheid erg geschikt voor een worm en raakt server-gebruikers in het bijzonder. Met een enkele aanval kan bijvoorbeeld een heel intranet geraakt worden.

Volgens Microsoft is de kwetsbaarheid nog niet misbruikt en er is ook nog geen publieke proof-of-concept-exploit beschikbaar. Toch roept Microsoft gebruikers op het fixen van deze kwetsbaarheid prioriteit te geven in een systeem. De kwetsbaarheid werd ontdekt door de Russische beveiligingsonderzoeker Mikhail Medvedev.

De tweede die een CVSS-score van 9,8 krijgt is een rce-kwetsbaarheid in Windows Internet Key Exchange versie 2. Een aanvaller kan op afstand verschillende kwetsbaarheden triggeren zonder authenticatie en zo op afstand code uitvoeren. Alleen systemen die IPSec draaien zijn kwetsbaar voor deze aanval, schrijft Microsoft.

Daarnaast zijn er een aantal andere kwetsbaarheden met relatief hoge CVSS-scores. Een daarvan is CVE-2022-21846. Deze rce-kwetsbaarheid in Microsoft Exchange Server krijgt een score van 9 van de 10. Dat betekent dat deze kritiek is, maar Microsoft verduidelijkt dat deze kwetsbaarheid niet zomaar te misbruiken is vanaf het internet, maar toegang tot hetzelfde fysieke netwerk, of toegang tot een gedeeld beveiligd netwerk nodig heeft, bijvoorbeeld een MPLS of beveiligde VPN die toegang geeft tot een admin-omgeving. Deze kwetsbaarheid werd bij Microsoft gemeld door de Amerikaanse inlichtingendienst NSA.

Reacties (45)

Fuske 12 januari 2022 12:27

Let op met je Domain Controllers, Hyper V of servers met ReFS partities!
Deze lijken allemaal problemen te hebben na deze update.
Wij hadden met onze 2012R2 Domain controllers vandaag grote problemen.
Deze bleven om de x minuten crashen na installatie van KB5009624.

Bij servers met ReFS partities werd de disk niet meer herkend!

https://www.reddit.com/r/...r_boot_loop_from_windows/
https://www.reddit.com/r/...sday_megathread_20220112/

Edit:
Ook op RDP servers lijken er problemen te zijn. Hoog cpu gebruik en user drop outs etc. Dus bijvoorbeeld bij citrix farms ook even waakzaam zijn.

[Reactie gewijzigd door Fuske op 26 juli 2024 15:04]

Dennisb1 @Fuske • 13 januari 2022 09:57

Windows Server 2016 met Domain Controller functie heeft hier ook last van.

De genoemde KB staat er echter niet bij ons op, alleen KB890830 (Software Removal Tool) en KB5009546 zijn gisteren geïnstalleerd. Wij gaan nu KB5009546 de-installeren.

The process wininit.exe has initiated the restart of computer ****** on behalf of user for the following reason: No title for this reason could be found
Reason Code: 0x50006
Shutdown Type: restart
Comment: The system process 'C:\Windows\system32\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.

[Reactie gewijzigd door Dennisb1 op 22 juli 2024 22:27]

Fuske @Dennisb1 • 13 januari 2022 10:44

Ik begrijp niet dat er geen berichtgeving vanuit MS hierover is gekomen.
Er zijn nogal uiteenlopende grote problemen met de updates!

Dennisb1 @Fuske • 13 januari 2022 10:52

Ja echt waardeloos wat dat betreft.
Ben al uur bezig om op 1 DC de update te verwijderen. Zit al half uur te kijken naar:

Working on updates
100% complete
Don't turn off your computer

Fuske @Dennisb1 • 13 januari 2022 11:49

Geduld..het duurde bij ons ook even inderdaad.

Blijkbaar is het niet nieuwswaardig, ik had gister nog voordat dit artikel verscheen de redactie getipt..
Toch lijkt het me verstandig om zoveel mogelijk bedrijven bewust te maken van de problemen die er kunnen optreden!
@SirRosencrantz

[Reactie gewijzigd door Fuske op 26 juli 2024 15:04]

Malvadis @Dennisb1 • 13 januari 2022 12:08

Windows server 2019 is bij ons ook aangetast.
De reboots kwamen dusdanig snel voor dat terugdraaien van de update via het OS niet mogelijk was.

Er zijn een hoop meldingen dat het loskoppelen van het netwerk de reboots stopt, lang genoeg om de update terug te rollen.

GertMenkel

Microsoft

@Fuske • 12 januari 2022 12:33

Ik hoop dat ze de bug snel fixen. De patches voor ReFS voorkomen namelijk een Stuxnet-achtige exploit waarbij iedereen met toegang tot een USB-poort op de server remote code execution kan krijgen. Geen interactie of speciale configuratie als autoplay voor nodig.

Gelukkig zal op de machines waar mensen zo'n ding makkelijk kunnen aansluiten niet snel ReFS gebruikt worden en kan de buggy patch daar ook gewoon worden geïnstalleerd, maar toch. Dit kan er eentje zijn waar we over een paar jaar weer over lezen in de kranten.

FastFred @GertMenkel • 12 januari 2022 15:52

Dus dan moet er al een hacker met een USB-stick in je serverruimte staan. Als dat het geval is heb je een ander probleem.

GertMenkel

Microsoft

@FastFred • 12 januari 2022 16:59

USB-sticks zijn ook goede manieren om air gaps te overbruggen als je bijvoorbeeld een enkele laptop in een bedrijf weet te infecteren, zolang het maar de juiste is. Het is geen groot risico voor de meeste bedrijven, maar wel een voor de belangrijkste bedrijven.

DDX @Fuske • 12 januari 2022 16:38

Hier een 2019 Server icm ReFS en geen issues met de updates.
Na reboot kwam de ReFS drive gewoon up.

beuki @Fuske • 12 januari 2022 23:31

Ook last gehad van reboot loop op de domain controllers (server 2012). Update snel weer verwijderd. Hoop dat ze het snel oplossen. Als ik het zo lees toch wel wat kritieke lekken. Meer info en details heb ik hier gevonden : https://borncity.com/win/...erursachen-boot-schleife/

Minisculus @Fuske • 12 januari 2022 12:33

Server 2012 is (voor zover ik kan opmaken) niet geraakt door 21907 en 21849 toch? Dat komt dus niet door de updates die dit lek dichten maar meer door de updates die nu voor server 2012 uitgebracht zijn?

Ik bedoel meer dat mensen niet onnodig angstig worden met het doorvoeren van updates die met deze lekken te maken hebben, dat lijkt in jouw situatie niet van toepassing?

[Reactie gewijzigd door Minisculus op 26 juli 2024 15:04]

Fuske @Minisculus • 12 januari 2022 12:37

Klopt volgens mij ja.
We hebben deze bij ons vrij snel moeten installeren vanwege bepaalde berichtgevingen die we gister eerder op de dag hebben ontvangen.

Minisculus @Xantis • 12 januari 2022 22:29

Nederige excuses! Reactie is aangepast.

spNk @Fuske • 13 januari 2022 12:42

Inderdaad, Hyper-V kapt ermee op 2012. Na het verwijderen van de patch werkt deze weer.

mendel129 12 januari 2022 12:26

Voor CVE-2022-21907 (http.sys) iets meer uitgebreid: https://isc.sans.edu/diary/rss/28234 . Lijkt enkel server 2019+. (na het "EoL"/end of mainstream support voor server 2016 gisteren)

[Reactie gewijzigd door mendel129 op 26 juli 2024 15:04]

Viper1995 @mendel129 • 12 januari 2022 12:30

Is server 2016 wel EOL? Zover ik weet krijg je altijd eerst 5 jaar mainstream support en daarna nog 5 jaar extended support waarin security patches gewoon zitten. Dus ik neem aan dat wanneer het in Server 2016 ook zit dat het dan daarin ook gepatched gaat worden.

mendel129 @Viper1995 • 12 januari 2022 12:53

Fair enough, security updates komen nog wel door.

Fonta @mendel129 • 12 januari 2022 13:27

Eerst moet 2012 nog even EOL gaan

beerse @Viper1995 • 12 januari 2022 14:50

Volgens mij staat het 'eol' in de (doorgehaalde) tekst voor end-of-line van de huidige communicatie of misschien zelfs voor een 'end-of'-...' karatker zoals ascii codes 3, 4, 23 of 25.

Anoniem: 1322 @Viper1995 • 12 januari 2022 16:41

Exchange 2016 en 2019 hebben dezelfde EOL datum. Microsoft wil helemaal niemand meer on-premise hebben.

Met alle beveiligingsproblemen raad ik ook mensen aan hun migraties te versnellen en on-premise Exchange servers onbereikbaar te maken voor gebruikers.

Minisculus @Viper1995 • 12 januari 2022 22:33

Off-topic;
Verlengde einddatum server 2016 is Januari 2027.

Tot die tijd ontvangt het OS nog veiligheidsupdates volgens het vaste lifecycle beleid van MS.

Bor Coördinator Frontpage Admins / FP Powermod @mendel129 • 12 januari 2022 12:32

Bij CVE-2022-21849 wordt 2016 expliciet genoemd als kwetsbaar.

Henk Poley @mendel129 • 12 januari 2022 13:06

Windows 10/11 heeft http.sys standaard aan op poort :5357 op vertrouwde netwerken. Dat is wsdapi, Web Services on Devices.

[Reactie gewijzigd door Henk Poley op 26 juli 2024 15:04]

DDX @mendel129 • 12 januari 2022 13:09

Juist minder critial bij 2019 :

'In Windows Server 2019 and Windows 10 version 1809, the the HTTP Trailer Support feature that contains the vulnerability is not active by default.

CAPSLOCK2000

Netwerk en systeembeheer

12 januari 2022 12:44

Wij hebben gisteravond een extra patchronde ingelast. Iets meer dan een uur later detecteerde ons IDS de eerste aanval met CVE-2022-21907. Dat was heel snel.

Bor Coördinator Frontpage Admins / FP Powermod @CAPSLOCK2000 • 12 januari 2022 12:49

Heb je daar ook verder onderzoek naar gedaan? Er lijkt nog geen PoC code beschikbaar.

Volgens Microsoft is de kwetsbaarheid nog niet misbruikt en er is ook nog geen publieke proof-of-concept-exploit beschikbaar.

Skit3000

@Bor • 12 januari 2022 12:51

Ga er maar van uit dat de patches zijn reverse-engineered en zo de eerste partijen al exploits beschikbaar hebben.

CAPSLOCK2000

Netwerk en systeembeheer

@Bor • 12 januari 2022 13:35

Heb je daar ook verder onderzoek naar gedaan? Er lijkt nog geen PoC code beschikbaar.

Nee, bij gebrek aan tijd en informatie zijn we er niet verder op in gegaan. Aangezien we de patch ook hebben geinstalleerd en onze monitoring het probleem al herkent leek het ook niet nodig om er verder in te duiken. Ik kan niet zeggen of het serieuze aanval was of niet meer dan een verkennende scan.
In de melding van deze bug werd al aangegeven dat misbruik maken triviaal leek te zijn. Ik gok dat je niet meer nodig hebt dan een slimme aanroep van curl ofzo en dat alle rotzakjes er nu mee aan het experimenteren zijn.

Slavy 12 januari 2022 12:25

Is deze ook hierin meegenomen? Scheelt weer extra patchen:

nieuws: Microsoft brengt out-of-bandupdate uit voor Windows Server-bug

Riqy 12 januari 2022 13:47

Op werkstations geven deze updates problemen met L2TP VPN verbindingen, na verwijderen van de volgende updates werkt dit wel weer:

Windows 11: KB5009566
Windows 10: KB5009543

Terrestrial @Riqy • 12 januari 2022 14:51

Ik wordt een beetje moe van dat Microsoft, laat ze hun patches eerst is voldoende testen voordat ze alles vrijgeven. Vroeger ging het ook wel eens fout maar tegenwoordig mag je blij zijn als alles nog werkt lijkt het wel.

Ik denk dat ik het updaten dus nog maar even uitstel gezien ik anders de helft van mijn netwerk kan plat gooien. Prutsers!

[Reactie gewijzigd door Terrestrial op 26 juli 2024 15:04]

Anoniem: 1322 @Terrestrial • 12 januari 2022 21:20

laat ze hun patches eerst is voldoende testen voordat ze alles vrijgeven.
Sinds dat ze hun QA teams hebben ontslagen (Windows 10 release), ben jij de tester. Dat gebeurd automatisch als je op de ‘controleer updates’ knop drukt.
https://www.digitaltrends...dows10-check-for-updates/

SuperDre @Terrestrial • 12 januari 2022 22:09

Nouja, met die ontelbaar mogelijke combinaties in het wild, wordt het toch steeds lastiger testen.

Terrestrial @SuperDre • 13 januari 2022 11:49

Dat is waar, maar ze hadden ooit een hele test farm, maar die is opgeheven meen ik, en ze hebben tegenwoordig de ringen van de alpha en beta testers. Maar het schijnt niet echt te helpen.

Vogel666 @Terrestrial • 13 januari 2022 02:06

Afgezien dat ik het wel met je eens ben...
MS is afgelopen/komende tijd juist bezig om een hoop ouwe kwetsbare legacy meuk uit hun OS te slopen.
Omdat hun strategie al 30 jaar is om alleen maar features aan toe te voegen en ze prat gingen op hun backward compatibility zijn ontwikkelaars her en der shortcuts gaan nemen en ongedocumenteerde dependencies gaan inbouwen.
Wanneer je dan antieke features eruit sloopt, dan komen deze ongedocumenteerde dependencies vanzelf bovendrijven.
Maar om dan te zeggen dat het geen goed besluit is om die eindeloze voorraad onveilige features eruit te slopen, dat zou dan weer onwaar zijn.. . Het is een uitstekend idee om die ouwe meuk te schrappen. Dat proces is helaas abominabel wel slecht ingericht.

BaggerDeBagger @Riqy • 12 januari 2022 14:56

Ook om mijn Windows 10 systeem bleek een belangrijke L2TP VPN connectie niet langer te werken.
Redelijk essentieel voor ons thuiswerkers.
Het verwijderen van KB5009543 verhelpt het probleem inderdaad.
Zie ook reddit

iching-TAO 12 januari 2022 18:59

Na het 'updaten' kon ik mijn server niet meer bereiken. Ik kreeg een tegenstrijdige melding dat mijn Virtuele servers wel actief waren en niet bereikbaar waren. Kon dus niet bij mijn server en niet bij mijn 'e-mails'. Na het terugdraaien van de 'updates' kon ik weer aan de slag. Waar de oorzaak ligt en in welke 'update' dat weet Microsoft wellicht, maar uw klant niet. Dank u!

mysterieworld 13 januari 2022 21:14

Het gebruik van externe opslag medium in combinatie van ReFS werkt met Windows 11: KB5009566 update niet meer, hoewel interne opslag medium direct via Sata wel bleven werken.

[Reactie gewijzigd door mysterieworld op 26 juli 2024 15:04]

Yoshi @Splorky • 12 januari 2022 13:41

russische persoon =/= Rusland. Ook niet gezegd dat net zoals bij log4j2 het bedrijf of de persoon die het lek gevonden heeft en niet eerst gemeld heeft bij zijn overheid niet gestraft is btw. Efin, dat geld voor alle duidelijkheid voor elk land :-). Maar bij die van log4j2 weten we het tenminste.

Dark Angel 58 @Splorky • 12 januari 2022 13:28

Wow Rusland heeft een lek gevonden en dat gemeld aan Microsoft.
Iets zegt me dat als het een hacker zou zijn geweest er dan niet over een persoon wordt gesproken, of hackers groep, maar over Rusland zelf.

Wel fijn dat het gedicht is voor dat er gebruik van gemaakt lijkt te zijn.

Inderdaad... terwijl de amerikanen en Europa Rusland en China demoniseren...

Bulkzooi 18 januari 2022 17:22

Alleen systemen die IPSec draaien zijn kwetsbaar voor deze aanval, schrijft Microsoft??

lol. Da's alles.

Op dit item kan niet meer gereageerd worden.

Microsoft dicht aantal ernstige kwetsbaarheden in Windows en Windows Server

Lees meer

Reacties (45)

Sorteer op:

Weergave: