Origine: bjCSIRT
Numéro: 2020/ALERTE/013
Date de l’alerte: 15/07/2020
TLP: White
Aperçu de la menace
Libellée CVE-2020-1350, la faille d’exécution de code à distance, est une vulnérabilité vieille de 17 ans. Elle permettrait à un attaquant distant et non authentifié d’obtenir des privilèges d’administrateur de domaine sur des serveurs ciblés et de prendre le contrôle total de l’infrastructure informatique d’une organisation. Elle peut être exploitée en envoyant des requêtes DNS malicieuses à un serveur DNS sous Windows.
Description
Surnommée SigRed, la faille vieille de 17 ans affecte les serveurs DNS sous Windows. Un attaquant externe peut exploiter la vulnérabilité de SigRed en envoyant des requêtes DNS malveillantes à un serveur DNS sous Windows et d’exécuter du code arbitraire qui pourrait lui permettre d’intercepter et de manipuler les e-mails des utilisateurs, de manipuler le trafic réseau, de rendre les services indisponibles, de collecter les identifiants des utilisateurs et bien plus encore.
Domain Name System (DNS) ou « Système de Noms de Domaine » est le protocole qui traduit les noms de domaine lisibles par l’homme en adresses IP lisibles par une machine. Sous Windows, le client DNS et le serveur DNS sont implémentés dans deux modules différents :
- Client DNS : dll est responsable de la résolution DNS ;
- Serveur DNS : exe est chargé de répondre aux requêtes DNS sur Windows Server.
Une requête DNS est transférée lorsqu’un serveur DNS ne peut pas résoudre l’adresse IP d’un nom de domaine donné, ce qui entraîne la transmission de la requête à un autre serveur DNS faisant autorité.
Un attaquant peut provoquer un débordement d’entier dans la fonction qui analyse les réponses entrantes pour les requêtes transférées (dns.exe : SigWireRead) afin d’envoyer une réponse DNS qui contient un enregistrement de ressource SIG supérieur à 64 Ko et induire un débordement de tampon. La vulnérabilité cible la fonction responsable de l’allocation de mémoire pour l’enregistrement de ressource (RR_AllocateEx) afin de générer un résultat supérieur à 65 535 octets pour provoquer un débordement d’entier conduisant à une allocation beaucoup plus petite que prévu. SigRed peut être déclenché à distance via un navigateur dans des scénarios limités (par exemple, Internet Explorer et les navigateurs Microsoft Edge). Ce qui permet à un attaquant d’abuser du support des serveurs DNS sous Windows pour la réutilisation des connexions afin de faire passer une requête DNS à l’intérieur d’une requête HTTP vers un serveur DNS cible lors de la visite d’un site web sous son contrôle.
Risques
- Exécution de code à distance
- Interception et manipulation des e-mails et du trafic réseau
- Attaque de déni de service (DoS)
- Collecte d’informations d’identification des utilisateurs
Etc.
Systèmes affectés
- Windows Server 2008 32-bit Systems Service Pack 2
- Windows Server 2008 32-bit Systems Service Pack 2 (Server Core)
- Windows Server 2008 x64-based Systems Service Pack 2
- Windows Server 2008 x64-based Systems Service Pack 2 (Server Core)
- Windows Server 2008 R2 x64-based Systems Service Pack 1
- Windows Server 2008 R2 x64-based Systems Service Pack 1 (Server Core)
- Windows Server 2012
- Windows Server 2012 (Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core)
- Windows Server 2016
- Windows Server 2016 (Server Core)
- Windows Server 2019
- Windows Server 2019 (Server Core)
- Windows Server, version 1903 (Server Core)
- Windows Server, version 1909 (Server Core)
- Windows Server, version 2004 (Server Core)
Mesures à prendre
SigRed peut être mitigé en effectuant les opérations suivantes :
- définition de la longueur maximale d’un message DNS (sur TCP) sur 0xFF00, ce qui devrait éliminer la vulnérabilité (solution temporaire) ;
mise à jour de Windows (versions affectées), résoudra complètement la vulnérabilité (solution recommandée).
Lien Utiles
- https://fr.tenable.com/blog/cve-2020-1350-wormable-remote-code-execution-vulnerability-in-windows-dns-server-sigred
- https://thehackernews.com/2020/07/windows-dns-server-hacking.html
- https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350