SIGRed: un nouvel exploit de la faille de Windows a été rendu publique

0

Une preuve de concept d’exploit est désormais accessible au public pour la vulnérabilité critique SIGRed dans le serveur DNS local de Windows. L’exploitation de cette faille permet l’exécution de code à distance.

Microsoft a publié des mises à jour de sécurité pour remédier à la faille de sécurité identifiée comme CVE-2020-1350 le 14 Juillet 2020, avec une solution de contournement qui utilise le registre et aide à protéger les serveurs Windows affectés contre les attaques.

SIGRed existe dans le code de Microsoft depuis plus de 17 ans, il a un impact sur toutes les versions de Windows Server 2003 jusqu’à la version 2019, et il a reçu une note de gravité maximale de 10 sur 10.

La faille a été catégorisée par Microsoft comme étant « vermifuge« , ce qui indique que les logiciels malveillants qui l’exploitent pourraient être en mesure de se propager automatiquement entre les machines vulnérables sur le réseau sans interaction avec l’utilisateur.

Cela la place dans la même catégorie de risque que le bug BlueKeep du Remote Desktop Protocol (RDP) et la faille EternalBlue dans Server Message Block (SMB).

Suite à une exploitation réussie de SIGRed contre les serveurs de contrôleur de domaine (DC) exécutant DNS, les attaquants non autorisés peuvent atteindre l’exécution de code à distance en tant que SYSTEM.

Tester contre plusieurs versions de Windows Server

Valentina Palmiotti, chercheuse principale en sécurité chez Grapl, qui a partagé la preuve de concept, a également publié un article avec des détails sur les méthodes utilisées par l’exploit.

« Si la faille est exploitée correctement, les attaquants peuvent exécuter du code à distance sur le système vulnérable et obtenir des droits d’administration de domaine, compromettant ainsi l’ensemble de l’infrastructure de l’entreprise », a expliqué Palmiotti.

La preuve de concept de l’exploit (1, 2) a été testée avec succès contre des versions 64 bits non patchées de Windows Server 2019, 2016, 2012R2 et 2012.

Les administrateurs qui n’ont pas encore patché leurs serveurs et ne peuvent pas déployer immédiatement les mises à jour de sécurité nécessaires peuvent appliquer la solution de contournement de Microsoft (qui ne nécessite pas de redémarrage).

L’article de Palmiotti comprend également des informations sur la façon de créer des règles SIEM pour détecter l’exploitation de SIGRed.

Le chercheur a partagé une vidéo de démonstration présentant l’exploitation de SigRed (CVE-2020-1350).

Les exploits de déni de service de SIGRed sont disponibles au public

Des exploits de SIGRed ont déjà été publiés, avec des scripts conçus pour déclencher des conditions de déni de service partagées publiquement, quelques jours après que Microsoft ait corrigé le bogue.

Toutefois, il s’agit de la première exploitation qui cause une exécution de code à distance depuis que Microsoft a adressé la vulnérabilité.

Pour créer cette exécution de code à distance, Palmiotti a utilisé quelques techniques d’exploitation partagées par Worawit Wang, chercheur en sécurité de DATAFARM, dans un article publié en Septembre 2020.

Deux jours après que Microsoft ait adressé le bug, CISA a ordonné aux agences fédérales de corriger la faille SIGRed dans les 24 heures.

La NSA a également publié un avis [PDF] recommandant aux administrateurs d’appliquer immédiatement le patch de CVE-2020-1350 à tous les serveurs Windows.

SIGRed a également eu une place dans le top 25 des vulnérabilités de la NSA activement exploitées par les groupes de piratage parrainés par la Chine, ainsi que d’autres vulnérabilités critiques de Windows comme Zerologon et BlueKeep.

Laisser un commentaire