[ALERTE CERT] – Vulnérabilité critique dans Microsoft Domain Name System (DNS)

Marvin PEDRON Alerte CERT

Introduction

Une faille de sécurité vieille de 17 ans a été découverte dans Microsoft Domain Name System (DNS) la semaine dernière. Cette CVE baptisée CVE-2020-1350 s’est vue attribuée la note de 10 dans le système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System).

Les systèmes d’exploitation vulnérables

Vous trouverez ci-dessous la liste des systèmes d’exploitation vulnérables communiquée par Microsoft :

  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Qualification de sévérité

La sévérité associée à cette publication a été estimée à critique par les équipes du CERT Devoteam (par estimation du risque opérationnel et de l’exposition de ce type d’équipement).

Description

La CVE-2020-1350 permet l’exécution de code arbitraire à distance (RCE) sur un serveur si son système d’exploitation est vulnérable et que le rôle DNS est installé sur celui-ci.

En construisant une requête DNS, l’attaquant peut provoquer un dépassement de tampon (buffer overflow) au niveau du service DNS puis exécuter du code arbitraire dans le contexte du compte Système local (plus haut niveau de privilège).

Aujourd’hui le service DNS est généralement activé sur de nombreux contrôleurs de domaines Active Directory, régulièrement porteurs de nombreux rôles et non simples serveurs DNS.

L’exploitation de cette vulnérabilité peut donc porter atteinte à une grande partie du système d’information via la compromission de sa « colonne vertébrale ».

Solution

Si vous estimez que la vulnérabilité a besoin d’être immédiatement corrigée vous pouvez appliquer une solution temporaire en modifiant la clé de registre comme ci-dessous puis en redémarrant le service DNS :

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  • Valeur : TcpReceivePacketSize
  • Type de données DWORD
  • Données 0xFF00

Après avoir appliqué cette modification, votre DNS ne pourra pas résoudre les requêtes supérieures à 65 280 octets.

La deuxième solution consiste à appliquer les correctifs publiés par Microsoft conformément à votre PSSI . Vous pouvez les télécharger ici.

Cette opération doit être réalisée sur toutes les machines avec un service DNS Microsoft

Références

https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1350

https://www.cert.ssi.gouv.fr/pdf/CERTFR-2020-ALE-16.pdf

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

PEDRON Marvin