e-Xpert Solutions Lausanne
Auteur : Michael Molho
Date de publication : 23 juillet 2020 - Dernière mise à jour : 23 juillet 2020
La semaine dernière, le mardi 14 Juillet, Microsoft a publié un patch corrigeant une vulnérabilité critique sur le composant DNS de Windows server. Découverte par Checkpoint Research, La CVE-2020-1350 touche toutes les versions de Windows server depuis 2003. L’exploitation de cette vulnérabilité peut être faite à distance, sans interaction utilisateur, et conduit l’attaquant à une compromission totale du serveur, ce qui lui vaut un score CVSS de 10 (score maximal).
Le composant vulnérable est le composant DNS de Windows server, qui est activé par défaut sur les contrôleurs de domaine et les serveurs DNS du monde Microsoft. Ces serveurs sont donc exposés à cette attaque.
La vulnérabilité vient de la fonction de parsing des réponses DNS de type « SIG », utilisées pour DNSSEC. Si un serveur DNS Windows recoit une réponse de type SIG spécialement forgée par un attaquant, le parsing de cette réponse induit un « heap base overflow » pouvant conduire à une exécution arbitraire de code avec les privilèges SYSTEM sur le serveur.
Pour être exploitée, l’attaquant a besoin de forcer un client qui utilise le serveur DNS ciblé à effectuer une requête DNS de type SIG vers son propre serveur DNS. Pour cela, la première option consiste à considérer un attaquant physiquement présent dans le LAN. Dans ce cas, une attaque de type Man in the Middle permet d’intercepter, modifier les requêtes et réponses DNS, rendant l’exploitation simple et directe.
Cependant, les chercheurs de Checkpoint ont également découvert une possibilité d’attaque à distance, avec l’envoi d’un simple email avec un lien embarqué. Un click sur le lien par l’utilisateur conduit à une compromission immédiate du serveur DNS de l’entreprise. Pour cela, ils utilisent la fonction de TCP pipelining de HTTP et de DNS pour envoyer des requêtes DNS en TCP depuis le navigateur en Javascript.
A noter cependant : cette technique ne fonctionne que sous Internet Explorer et Edge (non basé sur Chromium) et elle nécessite de connaitre à l’avance l’IP ou le nom complet (FQDN) du Domain Controller.
A ce jour, il existe des scripts de POC de type Deny of Service, induisant un crash du service DNS du serveur cible. A notre connaissance, il n’y a pas d’exploits publiques pour l’exécution de code à distance. Cependant, les chercheurs Checkpoint ont donné tous les éléments nécessaires à un attaquant potentiellement motivé pour construire un exploit complet.
Nous conseillons évidemment d’appliquer le patch fourni par Microsoft le plus rapidement possible.
Si patcher les contrôleurs de domaine ou les serveurs DNS n’est pas possible à court terme, Microsoft donne également une technique de mitigation consistant à changer la valeur d’une clé de registre limitant la taille maximale d’une réponse DNS :
Checkpoint a également publié une signature IPS permettant de bloquer cette attaque au niveau réseau :
Au SOC e-Xpert Solutions, une règle IDS dédiée a également été publiée permettant de détecter toute tentative d’attaque de cette vulnérabilité. Nous garantissons ainsi à nos clients une détection dans l’heure et un accompagnement complet à la remédiation.
Events
Archives