0

  • Votre panier est vide.

  • COMPTE

Une vulnérabilité critique RCE «  wormable  » vieille de 17 ans a un impact sur les serveurs DNS Windows

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs en cybersécurité ont dévoilé aujourd’hui une nouvelle vulnérabilité «vermifuge» très critique – avec un score de gravité de 10 sur 10 sur l’échelle CVSS – affectant les versions 2003 à 2019 de Windows Server.

La faille d’exécution de code à distance vieille de 17 ans (CVE-2020-1350), surnommé ‘SigRed‘par Check Point, pourrait permettre à un attaquant distant non authentifié d’obtenir des privilèges d’administrateur de domaine sur des serveurs ciblés et de prendre le contrôle complet de l’infrastructure informatique d’une organisation.

Un acteur de la menace peut exploiter la vulnérabilité SigRed en envoyant des requêtes DNS malveillantes à un serveur DNS Windows et réaliser une exécution de code arbitraire, permettant au pirate d’intercepter et de manipuler les e-mails et le trafic réseau des utilisateurs, rendre les services indisponibles, collecter les informations d’identification des utilisateurs et bien plus encore.

Dans un détail rapport partagé avec The Hacker News, le chercheur Check Point Sagi Tzadik a confirmé que la faille est de nature vermifuge, permettant aux attaquants de lancer une attaque qui peut se propager d’un ordinateur vulnérable à un autre sans aucune interaction humaine.

« Un seul exploit peut déclencher une réaction en chaîne qui permet aux attaques de se propager d’une machine vulnérable à une machine vulnérable sans nécessiter d’interaction humaine », a déclaré le chercheur.

« Cela signifie qu’une seule machine compromise pourrait être un » super diffuseur « , permettant à l’attaque de se propager sur le réseau d’une organisation dans les minutes suivant le premier exploit. »

Après que la société de cybersécurité a divulgué de manière responsable ses découvertes à Microsoft, le fabricant de Windows a préparé un correctif pour la vulnérabilité et a commencé à le déployer à partir d’aujourd’hui dans le cadre de son correctif de juillet mardi, qui comprend également des mises à jour de sécurité pour 122 autres vulnérabilités, avec un total de 18 failles. classé comme critique et 105 comme important en termes de gravité.

Microsoft m’a dit il n’a trouvé aucune preuve indiquant que le bogue a été activement exploité par des attaquants et a conseillé aux utilisateurs d’installer les correctifs immédiatement.

«Windows DNS Server est un composant réseau de base. Bien que cette vulnérabilité ne soit pas actuellement connue pour être utilisée dans des attaques actives, il est essentiel que les clients appliquent les mises à jour Windows pour corriger cette vulnérabilité dès que possible», a déclaré Microsoft.

Création de réponses DNS malveillantes

Déclarant que l’objectif était d’identifier une vulnérabilité qui laisserait un attaquant non authentifié compromettre un environnement de domaine Windows, les chercheurs de Check Point ont déclaré qu’ils se concentraient sur Windows DNS, en examinant de plus près comment un serveur DNS analyse une requête entrante ou une réponse pour un requête transférée.

Une requête transférée se produit lorsqu’un serveur DNS ne peut pas résoudre l’adresse IP pour un nom de domaine donné (par exemple, www.google.com), ce qui entraîne le transfert de la requête vers un serveur de noms DNS faisant autorité (NS).

Pour exploiter cette architecture, SigRed consiste à configurer un domaine (« deadbeef.fun ») Enregistrements de ressources NS pour pointer vers un serveur de noms malveillant (« ns1.41414141.club »), et interroger le serveur DNS cible pour le domaine afin que ce dernier analyse les réponses du serveur de noms pour toutes les requêtes ultérieures liées au domaine ou à ses sous-domaines.

Une fois cette configuration en place, un attaquant peut provoquer une faille de dépassement d’entier dans la fonction qui analyse les réponses entrantes pour les requêtes transférées (« dns.exe! SigWireRead ») pour envoyer une réponse DNS contenant un Enregistrement de ressources SIG supérieure à 64 Ko et induire un «dépassement de mémoire tampon basé sur le tas contrôlé d’environ 64 Ko sur une petite mémoire tampon allouée».

Mis différemment; la faille cible la fonction responsable de l’allocation de mémoire pour l’enregistrement de ressource (« RR_AllocateEx ») pour générer un résultat supérieur à 65 535 octets pour provoquer un débordement d’entier qui conduit à une allocation beaucoup plus petite que prévu.

Mais avec un seul message DNS limité à 512 octets en UDP (ou 4096 octets si le serveur prend en charge mécanismes d’extension) et 65 535 octets en TCP, les chercheurs ont découvert qu’une réponse SIG avec une signature longue seule ne suffisait pas à déclencher la vulnérabilité.

Pour y parvenir, l’attaque profite intelligemment de Compression de nom DNS dans les réponses DNS pour créer un débordement de tampon en utilisant la technique susmentionnée pour augmenter la taille de l’allocation d’une quantité significative.

Exploitation à distance de la faille

Ce n’est pas tout. SigRed peut être déclenché à distance via un navigateur dans des scénarios limités (par exemple, Internet Explorer et les navigateurs Microsoft Edge non basés sur Chromium), permettant à un attaquant d’abuser de la prise en charge des serveurs DNS Windows pour réutilisation des connexions et pipelining des requêtes des fonctionnalités pour «passer en contrebande» une requête DNS à l’intérieur d’une charge utile de requête HTTP vers un serveur DNS cible lors de la visite d’un site Web sous leur contrôle.

De plus, le bogue peut être davantage exploité pour fuir des adresses mémoire en corrompant les métadonnées d’un enregistrement de ressource DNS et même atteindre écrire-quoi-où capacités, permettant à un adversaire de détourner le flux d’exécution et de le forcer à exécuter des instructions involontaires.

Étonnamment, les clients DNS (« dnsapi.dll ») ne sont pas sensibles au même bogue, ce qui conduit les chercheurs à soupçonner que « Microsoft gère deux bases de code complètement différentes pour le serveur DNS et le client DNS, et ne synchronise pas les correctifs de bogue entre eux . « 

Compte tenu de la gravité de la vulnérabilité et des fortes chances d’exploitation active, il est recommandé aux utilisateurs de corriger leurs serveurs DNS Windows affectés pour atténuer le risque.

Pour contourner ce problème, la longueur maximale d’un message DNS (sur TCP) peut être définie sur « 0xFF00 » pour éliminer les risques de dépassement de la mémoire tampon:

reg ajouter « HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters » / v « TcpReceivePacketSize » / t REG_DWORD / d 0xFF00 / f

DNS net stop et DNS net start

« Une brèche de serveur DNS est une chose très sérieuse. La plupart du temps, elle met l’attaquant à seulement un pouce de toute l’organisation. Il n’y a qu’une poignée de ces types de vulnérabilités jamais publiées », a déclaré Omri Herscovici de Check Point à The Hacker Nouvelles.

«Chaque organisation, grande ou petite, utilisant l’infrastructure Microsoft est exposée à un risque de sécurité majeur si elle n’est pas corrigée. Le risque serait une violation complète de l’ensemble du réseau de l’entreprise.

Voir aussi :

octobre 2, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)