Microsoft, une faille DNS rend les serveurs vulnérables

Une faille critique de Microsoft Windows Server ouvre les réseaux d’entreprise aux pirates, leur permettant de prendre potentiellement le contrôle des infrastructures informatiques. Microsoft a publié un correctif pour cette faille dans le cadre du Patch Tuesday du mois de Juillet.

Il s’avère que cette faille a 17 ans. Les versions de Windows Server entre 2003 et 2019 sont concernées. La vulnérabilité, découverte par les chercheurs de Check Point, a reçu un score de gravité de 10 – le plus élevé autorisé. Le plus inquiétant pour les chercheurs est cependant que la faille peut être exploité par un ver, ce qui signifie qu’un seul exploit de la faille peut déclencher une réaction en chaîne qui permet aux attaques de se propager d’un ordinateur à un autre.

«[La] faille de sécurité permettrait à un pirate de créer des requêtes DNS malveillantes sur le serveur DNS Windows et d’exécuter du code arbitraire qui pourrait conduire à la violation de l’ensemble de l’infrastructure», selon Sagi Tzaik, chercheur chez Check Point, qui est crédité pour avoir découvert la faille.

microsoft patch tuesday

Microsoft a publié un correctif pour la vulnérabilité, identifié comme CVE-2020-1350, et a demandé aux clients d’appliquer la mise à jour le plus tôt possible sur leurs systèmes. Check Point a nommé la faille SigRed – un clin d’œil au composant DNS vulnérable et à la fonction «dns.exe».

Un pirate peut obtenir des droits d’administrateur de domaine sur le serveur, «permettant au pirate d’intercepter et de manipuler les e-mails et le trafic réseau des utilisateurs, de rendre les services indisponibles, de récolter les informations d’identification des utilisateurs, etc. En effet, le pirate pourrait prendre le contrôle complet de l’informatique d’une entreprise », ont écrit des chercheurs, dans une analyse technique de la faille.

Il faut absolument patcher

«La probabilité que cette vulnérabilité soit exploitée est élevée, car nous avons trouvé en interne toutes les primitives nécessaires pour exploiter cette faille, ce qui signifie qu’un pirate informatique déterminé pourrait également trouver les mêmes ressources», ont noté les chercheurs.

«Ce problème résulte d’une faille dans la mise en œuvre du rôle de serveur DNS de Microsoft et affecte toutes les versions de Windows Server. Les serveurs DNS non-Microsoft ne sont pas affectés », a écrit Microsoft dans un communiqué. «Bien que cette vulnérabilité ne soit actuellement pas utilisée dans des attaques actives, il est essentiel que les clients appliquent les mises à jour de Windows pour corriger cette vulnérabilité dès que possible.»

dns microsoft

Mechele Gruhn, responsable principal de la sécurité chez Microsoft Security Response Center, a noté que «si l’application rapide de la mise à jour n’est pas possible, une solution de contournement basée sur le registre est disponible et ne nécessite pas de redémarrer le serveur. La mise à jour et la solution de contournement sont toutes deux détaillées dans CVE-2020-1350. »

«CVE-2020-1350, une vulnérabilité d’exécution de code à distance dans Windows DNS Server et pourrait très bien être la vulnérabilité Windows la plus critique révélée cette année, recevant un score CVSS rare de 10 sur 10», a déclaré Chris Hass, directeur de la sécurité de l’information et recherche chez Automox.

«Une vulnérabilité comme celle-ci est le rêve d’un attaquant. Un pirate informatique non authentifié peut envoyer des paquets spécialement conçus au serveur DNS Windows vulnérable pour exploiter la machine, ce qui permet d’exécuter du code arbitraire dans le contexte du compte système local. Non seulement l’attaquant aura le contrôle total du système, mais il pourra également exploiter le serveur en tant que point de distribution, permettant à l’attaquant de propager des logiciels malveillants entre les systèmes sans aucune interaction de l’utilisateur.

Cette capacité de ver ajoute une toute autre couche de gravité et d’impact, permettant aux auteurs de logiciels malveillants d’écrire des rançongiciels similaires à des logiciels malveillants connus tels que Wannacry et NotPetya », a déclaré Hass.

Exploiter un bug de Microsoft vieux de 17 ans

La faille est un bug de dépassement d’entier qui peut déclencher une attaque de dépassement de mémoire tampon basée sur le tas liée au module DNS appelé dns.exe, qui est chargé de répondre aux requêtes DNS sur les serveurs Windows.

En abusant du module dns.exe, deux surfaces d’attaque ont été créées par les chercheurs. L’une est une «faille dans la façon dont le serveur DNS analyse une requête entrante». Et la seconde est «un bug dans la façon dont le serveur DNS analyse une réponse pour une requête transférée».

L’attaque oblige les chercheurs à forcer d’abord un serveur DNS Windows à analyser les réponses d’un serveur de noms DNS malveillant. Cela demande l’utilisation du module dns.exe, qui analyse tous les types de réponse pris en charge. L’un de ces types de réponse pris en charge est pour une requête Secure Internet Access (SIG) appelée SIG (O). Les chercheurs ont concentré leur attention sur la création d’une requête dépassant la taille maximale autorisée de 65 535 octets, et provoquant le débordement. En utilisant des données compressées, les chercheurs ont pu provoquer un crash.

«Bien qu’il semble que nous ayons planté parce que nous essayions d’écrire des valeurs dans la mémoire non mappée, le tas peut être formé d’une manière qui nous permet d’écraser certaines valeurs significatives», ont-ils écrit.

Cette attaque locale a ensuite été répliquée à distance, par «contrebande DNS dans HTTP» sur les navigateurs Microsoft Explorer et Microsoft Edge (Google Chrome et Firefox ne sont pas vulnérables à ce type d’attaque). Étant donné que DNS peut être transporté via TCP – et que Windows DNS Server prend en charge ce type de connexion – les chercheurs ont pu créer un payload HTTP.

«Même s’il s’agit d’un payload HTTP, son envoi à notre serveur DNS sur le port 53 amène le serveur DNS Windows à interpréter ce payload comme s’il s’agissait d’une requête DNS», ont-ils écrit. Les chercheurs ont pu contourner les protections HTTP contre des payloads HTTP malveillants similaires en «introduisant» des données de requête DNS dans les données POST situées dans la requête HTTP.

Les navigateurs Chromium (Google Chrome et Mozilla Firefox) n’autorisent pas les requêtes HTTP sur le port 53, le bug ne peut donc être exploité que sur Internet Explorer et Microsoft Edge.

«Une exploitation réussie de cette vulnérabilité aurait un impact grave, car vous pouvez souvent trouver des environnements de domaine Windows non patchés, en particulier des contrôleurs de domaine. En plus, certains fournisseurs de services Internet (FAI) peuvent même avoir configuré leurs serveurs DNS publics en tant que WinDNS », a écrit Check Point.

Si cet article vous a plu, jetez un œil à notre article précédent.