Microsoft dicht aantal ernstige kwetsbaarheden in Windows en Windows Server

Tijdens de eerste Patch Tuesday van 2022 heeft Microsoft een aantal kritieke kwetsbaarheden gedicht in Windows en Windows Server. Een van de meest ernstige kwetsbaarheden zit in het HTTP Protocol Stack en stelt kwaadwillenden in staat om op afstand code uit te voeren op een pc.

De maandelijkse beveiligingsupdate van Windows dicht in januari een hele reeks van 96 grotere en kleinere bugs in verschillende Windows-onderdelen, Office, Teams, Exchange Server, Edge en .NET Framework. Twee kwetsbaarheden hebben een CVSS-score gekregen van 9,8, wat betekent dat zij zeer kritiek zijn. Het gaat om CVE-2022-21907 en CVE-2022-21849.

De eerste is een rce-kwetsbaarheid die kwaadwillenden in staat stelt om op afstand code uit te voeren door een Windows-computer een packet te sturen die gebruik maakt van HTTP Protocol Stack. De aanvaller hoeft daarvoor de gebruiker niet een actie te laten uitvoeren en hij hoeft geen privileges in het systeem te hebben. Daardoor is deze kwetsbaarheid erg geschikt voor een worm en raakt server-gebruikers in het bijzonder. Met een enkele aanval kan bijvoorbeeld een heel intranet geraakt worden.

Volgens Microsoft is de kwetsbaarheid nog niet misbruikt en er is ook nog geen publieke proof-of-concept-exploit beschikbaar. Toch roept Microsoft gebruikers op het fixen van deze kwetsbaarheid prioriteit te geven in een systeem. De kwetsbaarheid werd ontdekt door de Russische beveiligingsonderzoeker Mikhail Medvedev.

De tweede die een CVSS-score van 9,8 krijgt is een rce-kwetsbaarheid in Windows Internet Key Exchange versie 2. Een aanvaller kan op afstand verschillende kwetsbaarheden triggeren zonder authenticatie en zo op afstand code uitvoeren. Alleen systemen die IPSec draaien zijn kwetsbaar voor deze aanval, schrijft Microsoft.

Daarnaast zijn er een aantal andere kwetsbaarheden met relatief hoge CVSS-scores. Een daarvan is CVE-2022-21846. Deze rce-kwetsbaarheid in Microsoft Exchange Server krijgt een score van 9 van de 10. Dat betekent dat deze kritiek is, maar Microsoft verduidelijkt dat deze kwetsbaarheid niet zomaar te misbruiken is vanaf het internet, maar toegang tot hetzelfde fysieke netwerk, of toegang tot een gedeeld beveiligd netwerk nodig heeft, bijvoorbeeld een MPLS of beveiligde VPN die toegang geeft tot een admin-omgeving. Deze kwetsbaarheid werd bij Microsoft gemeld door de Amerikaanse inlichtingendienst NSA.

Door Stephan Vegelien

Redacteur

12-01-2022 • 12:17

45 Linkedin

Submitter: Dennis0162

Lees meer

Reacties (45)

Wijzig sortering
Let op met je Domain Controllers, Hyper V of servers met ReFS partities!
Deze lijken allemaal problemen te hebben na deze update.
Wij hadden met onze 2012R2 Domain controllers vandaag grote problemen.
Deze bleven om de x minuten crashen na installatie van KB5009624.

Bij servers met ReFS partities werd de disk niet meer herkend!

https://www.reddit.com/r/...r_boot_loop_from_windows/
https://www.reddit.com/r/...sday_megathread_20220112/

Edit:
Ook op RDP servers lijken er problemen te zijn. Hoog cpu gebruik en user drop outs etc. Dus bijvoorbeeld bij citrix farms ook even waakzaam zijn.

[Reactie gewijzigd door Fuske op 12 januari 2022 21:16]

Windows Server 2016 met Domain Controller functie heeft hier ook last van.

De genoemde KB staat er echter niet bij ons op, alleen KB890830 (Software Removal Tool) en KB5009546 zijn gisteren geïnstalleerd. Wij gaan nu KB5009546 de-installeren.


The process wininit.exe has initiated the restart of computer ****** on behalf of user for the following reason: No title for this reason could be found
Reason Code: 0x50006
Shutdown Type: restart
Comment: The system process 'C:\Windows\system32\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.

[Reactie gewijzigd door Dennisb1 op 13 januari 2022 10:11]

Ik begrijp niet dat er geen berichtgeving vanuit MS hierover is gekomen.
Er zijn nogal uiteenlopende grote problemen met de updates!
Ja echt waardeloos wat dat betreft.
Ben al uur bezig om op 1 DC de update te verwijderen. Zit al half uur te kijken naar:

Working on updates
100% complete
Don't turn off your computer
Geduld..het duurde bij ons ook even inderdaad.

Blijkbaar is het niet nieuwswaardig, ik had gister nog voordat dit artikel verscheen de redactie getipt..
Toch lijkt het me verstandig om zoveel mogelijk bedrijven bewust te maken van de problemen die er kunnen optreden!
@SirRosencrantz

[Reactie gewijzigd door Fuske op 13 januari 2022 11:50]

Windows server 2019 is bij ons ook aangetast.
De reboots kwamen dusdanig snel voor dat terugdraaien van de update via het OS niet mogelijk was.

Er zijn een hoop meldingen dat het loskoppelen van het netwerk de reboots stopt, lang genoeg om de update terug te rollen.
Ik hoop dat ze de bug snel fixen. De patches voor ReFS voorkomen namelijk een Stuxnet-achtige exploit waarbij iedereen met toegang tot een USB-poort op de server remote code execution kan krijgen. Geen interactie of speciale configuratie als autoplay voor nodig.

Gelukkig zal op de machines waar mensen zo'n ding makkelijk kunnen aansluiten niet snel ReFS gebruikt worden en kan de buggy patch daar ook gewoon worden geïnstalleerd, maar toch. Dit kan er eentje zijn waar we over een paar jaar weer over lezen in de kranten.
Dus dan moet er al een hacker met een USB-stick in je serverruimte staan. Als dat het geval is heb je een ander probleem.
USB-sticks zijn ook goede manieren om air gaps te overbruggen als je bijvoorbeeld een enkele laptop in een bedrijf weet te infecteren, zolang het maar de juiste is. Het is geen groot risico voor de meeste bedrijven, maar wel een voor de belangrijkste bedrijven.
Hier een 2019 Server icm ReFS en geen issues met de updates.
Na reboot kwam de ReFS drive gewoon up.
Ook last gehad van reboot loop op de domain controllers (server 2012). Update snel weer verwijderd. Hoop dat ze het snel oplossen. Als ik het zo lees toch wel wat kritieke lekken. Meer info en details heb ik hier gevonden : https://borncity.com/win/...erursachen-boot-schleife/
Server 2012 is (voor zover ik kan opmaken) niet geraakt door 21907 en 21849 toch? Dat komt dus niet door de updates die dit lek dichten maar meer door de updates die nu voor server 2012 uitgebracht zijn?

Ik bedoel meer dat mensen niet onnodig angstig worden met het doorvoeren van updates die met deze lekken te maken hebben, dat lijkt in jouw situatie niet van toepassing?

[Reactie gewijzigd door Minisculus op 12 januari 2022 22:28]

Klopt volgens mij ja.
We hebben deze bij ons vrij snel moeten installeren vanwege bepaalde berichtgevingen die we gister eerder op de dag hebben ontvangen.
Nederige excuses! Reactie is aangepast.
Inderdaad, Hyper-V kapt ermee op 2012. Na het verwijderen van de patch werkt deze weer.
Voor CVE-2022-21907 (http.sys) iets meer uitgebreid: https://isc.sans.edu/diary/rss/28234 . Lijkt enkel server 2019+. (na het "EoL"/end of mainstream support voor server 2016 gisteren)

[Reactie gewijzigd door mendel129 op 12 januari 2022 12:54]

Is server 2016 wel EOL? Zover ik weet krijg je altijd eerst 5 jaar mainstream support en daarna nog 5 jaar extended support waarin security patches gewoon zitten. Dus ik neem aan dat wanneer het in Server 2016 ook zit dat het dan daarin ook gepatched gaat worden.
Fair enough, security updates komen nog wel door.
Eerst moet 2012 nog even EOL gaan :)
Volgens mij staat het 'eol' in de (doorgehaalde) tekst voor end-of-line van de huidige communicatie of misschien zelfs voor een 'end-of'-...' karatker zoals ascii codes 3, 4, 23 of 25.
Exchange 2016 en 2019 hebben dezelfde EOL datum. Microsoft wil helemaal niemand meer on-premise hebben.

Met alle beveiligingsproblemen raad ik ook mensen aan hun migraties te versnellen en on-premise Exchange servers onbereikbaar te maken voor gebruikers.
Off-topic;
Verlengde einddatum server 2016 is Januari 2027.

Tot die tijd ontvangt het OS nog veiligheidsupdates volgens het vaste lifecycle beleid van MS.
Bij CVE-2022-21849 wordt 2016 expliciet genoemd als kwetsbaar.
Windows 10/11 heeft http.sys standaard aan op poort :5357 op vertrouwde netwerken. Dat is wsdapi, Web Services on Devices.

[Reactie gewijzigd door Henk Poley op 12 januari 2022 13:07]

Juist minder critial bij 2019 :

'In Windows Server 2019 and Windows 10 version 1809, the the HTTP Trailer Support feature that contains the vulnerability is not active by default.
Wij hebben gisteravond een extra patchronde ingelast. Iets meer dan een uur later detecteerde ons IDS de eerste aanval met CVE-2022-21907. Dat was heel snel.
Heb je daar ook verder onderzoek naar gedaan? Er lijkt nog geen PoC code beschikbaar.
Volgens Microsoft is de kwetsbaarheid nog niet misbruikt en er is ook nog geen publieke proof-of-concept-exploit beschikbaar.
Ga er maar van uit dat de patches zijn reverse-engineered en zo de eerste partijen al exploits beschikbaar hebben.
Heb je daar ook verder onderzoek naar gedaan? Er lijkt nog geen PoC code beschikbaar.
Nee, bij gebrek aan tijd en informatie zijn we er niet verder op in gegaan. Aangezien we de patch ook hebben geinstalleerd en onze monitoring het probleem al herkent leek het ook niet nodig om er verder in te duiken. Ik kan niet zeggen of het serieuze aanval was of niet meer dan een verkennende scan.
In de melding van deze bug werd al aangegeven dat misbruik maken triviaal leek te zijn. Ik gok dat je niet meer nodig hebt dan een slimme aanroep van curl ofzo en dat alle rotzakjes er nu mee aan het experimenteren zijn.
Op werkstations geven deze updates problemen met L2TP VPN verbindingen, na verwijderen van de volgende updates werkt dit wel weer:

Windows 11: KB5009566
Windows 10: KB5009543
Ik wordt een beetje moe van dat Microsoft, laat ze hun patches eerst is voldoende testen voordat ze alles vrijgeven. Vroeger ging het ook wel eens fout maar tegenwoordig mag je blij zijn als alles nog werkt lijkt het wel.

Ik denk dat ik het updaten dus nog maar even uitstel gezien ik anders de helft van mijn netwerk kan plat gooien. Prutsers!

[Reactie gewijzigd door Terrestrial op 12 januari 2022 14:52]

laat ze hun patches eerst is voldoende testen voordat ze alles vrijgeven.
Sinds dat ze hun QA teams hebben ontslagen (Windows 10 release), ben jij de tester. Dat gebeurd automatisch als je op de ‘controleer updates’ knop drukt.
https://www.digitaltrends...dows10-check-for-updates/
Nouja, met die ontelbaar mogelijke combinaties in het wild, wordt het toch steeds lastiger testen.
Dat is waar, maar ze hadden ooit een hele test farm, maar die is opgeheven meen ik, en ze hebben tegenwoordig de ringen van de alpha en beta testers. Maar het schijnt niet echt te helpen.
Afgezien dat ik het wel met je eens ben...
MS is afgelopen/komende tijd juist bezig om een hoop ouwe kwetsbare legacy meuk uit hun OS te slopen.
Omdat hun strategie al 30 jaar is om alleen maar features aan toe te voegen en ze prat gingen op hun backward compatibility zijn ontwikkelaars her en der shortcuts gaan nemen en ongedocumenteerde dependencies gaan inbouwen.
Wanneer je dan antieke features eruit sloopt, dan komen deze ongedocumenteerde dependencies vanzelf bovendrijven.
Maar om dan te zeggen dat het geen goed besluit is om die eindeloze voorraad onveilige features eruit te slopen, dat zou dan weer onwaar zijn.. . Het is een uitstekend idee om die ouwe meuk te schrappen. Dat proces is helaas abominabel wel slecht ingericht.
Ook om mijn Windows 10 systeem bleek een belangrijke L2TP VPN connectie niet langer te werken.
Redelijk essentieel voor ons thuiswerkers.
Het verwijderen van KB5009543 verhelpt het probleem inderdaad.
Zie ook reddit
Na het 'updaten' kon ik mijn server niet meer bereiken. Ik kreeg een tegenstrijdige melding dat mijn Virtuele servers wel actief waren en niet bereikbaar waren. Kon dus niet bij mijn server en niet bij mijn 'e-mails'. Na het terugdraaien van de 'updates' kon ik weer aan de slag. Waar de oorzaak ligt en in welke 'update' dat weet Microsoft wellicht, maar uw klant niet. Dank u!
Het gebruik van externe opslag medium in combinatie van ReFS werkt met Windows 11: KB5009566 update niet meer, hoewel interne opslag medium direct via Sata wel bleven werken.

[Reactie gewijzigd door mysterieworld op 13 januari 2022 21:16]

russische persoon =/= Rusland. Ook niet gezegd dat net zoals bij log4j2 het bedrijf of de persoon die het lek gevonden heeft en niet eerst gemeld heeft bij zijn overheid niet gestraft is btw. Efin, dat geld voor alle duidelijkheid voor elk land :-). Maar bij die van log4j2 weten we het tenminste.
Wow Rusland heeft een lek gevonden en dat gemeld aan Microsoft.
Iets zegt me dat als het een hacker zou zijn geweest er dan niet over een persoon wordt gesproken, of hackers groep, maar over Rusland zelf.

Wel fijn dat het gedicht is voor dat er gebruik van gemaakt lijkt te zijn.
Inderdaad... terwijl de amerikanen en Europa Rusland en China demoniseren... :')
Alleen systemen die IPSec draaien zijn kwetsbaar voor deze aanval, schrijft Microsoft??

lol. Da's alles.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee