{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows 10 version 20H2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server version 2004","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server version 20H2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 version 2004","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2021-06-10","content":"## Solution\n\n**Le CERT-FR recommande de proc\u00e9der sans d\u00e9lai \u00e0 la mise \u00e0 jour des\nsyst\u00e8mes d'exploitation affect\u00e9s en commen\u00e7ant par les machines expos\u00e9es\nsur des r\u00e9seaux non s\u00e9curis\u00e9s.**\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2021-31166","url":"https://www.cve.org/CVERecord?id=CVE-2021-31166"}],"links":[],"reference":"CERTFR-2021-ALE-009","revisions":[{"description":"Version initiale","revision_date":"2021-05-12T00:00:00.000000"},{"description":"Des codes d'attaques sont d\u00e9sormais publics.","revision_date":"2021-05-21T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-06-10T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[version du 21 mai 2021\\]</strong>\n\nLe CERT-FR a connaissance de l'existence de codes d'attaques publics\nprovoquant un d\u00e9ni de service sur l'\u00e9quipement cibl\u00e9. Il est fortement\nrecommand\u00e9 de mettre \u00e0 jour les postes de travail et les serveurs\ninstall\u00e9s avec les versions du syst\u00e8me d'exploitation affect\u00e9es par\ncette vuln\u00e9rabilit\u00e9.\n\n<strong>\\[version initiale\\]</strong>\n\nLe syst\u00e8me d'exploitation Microsoft Windows propose un service de\ngestion des requ\u00eates HTTP sous la forme d'un pilote en mode noyau appel\u00e9\nhttp.sys. Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans ce pilote pour Windows\nServer et Windows 10. Elle permet \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance et l'\u00e9diteur consid\u00e8re qu'elle\npeut \u00eatre exploit\u00e9e dans le cadre d'attaques \u00e0 propagation de type \"ver\ninformatique\".\n\nLe pilote http.sys est notamment utilis\u00e9 par Microsoft IIS, le service\nWindows Remote Management (WinRM) ainsi que le service SSDP. Il est donc\npr\u00e9sent sur les serveurs mais \u00e9galement sur les postes de travail. Par\ncons\u00e9quent, le CERT-FR recommande de consid\u00e9rer que l'ensemble des\nmachines utilisant une version de Windows affect\u00e9e est vuln\u00e9rable.\n\nLa vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte par l'\u00e9diteur, cependant la\nprobabilit\u00e9 que des codes d'attaques soient mis au point rapidement est\ntr\u00e8s \u00e9lev\u00e9e.\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Windows","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-31166 du 11 mai 2021","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166"},{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-367 du 12 mai 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-367/"}]}