Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - ALE - 016

AVIS CERTFR - 2020 - ALE - 016

Objet: Vulnérabilité dans Microsoft Domain Name System (DNS) Server

Référence : CERTFR-2020-ALE-16

Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)

Résumé
Une vulnérabilité a été découverte dans le service Microsoft Domain Name System (DNS) Server. Cette vulnérabilité se situe dans le code qui analyse les réponses à des requêtes DNS. Elle peut être exploitée par un attaquant qui aurait le contrôle d'un serveur DNS ayant autorité sur un nom de domaine Internet. En construisant une réponse, dans un format particulier, à une requête légitime émise par un serveur Microsoft DNS Server, l'attaquant peut provoquer un dépassement de tampon (buffer overflow) au niveau du service Microsoft DNS Server.

L'exploitation de cette vulnérabilité peut résulter en une exécution de code arbitraire avec les privilèges SYSTEM.

Le service Microsoft DNS Server étant généralement activé sur les contrôleurs de domaines Active Directory, l'attaquant est alors capable de compromettre les contrôleurs de domaines Active Directory du système d'information.

Contournement provisoire
Les correctifs ont été publiés par Microsoft le 14/07/2020 et doivent être appliqués au plus vite. Cependant, un contournement temporaire peut être appliqué.

L’attaque consiste à répondre à une requête avec une réponse dépassant la taille de 65535 octets. Au-delà de 4096 octets, les services DNS utilisent le protocole TCP pour échanger les messages.

Le contournement proposé par l'éditeur [1] consiste à limiter la taille des messages acceptés par le service. Cette modification consiste à ajouter une clé de registre et à redémarrer le service DNS :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS
Cette opération doit être réalisée sur l’ensemble des machines portant le service Microsoft DNS Server

Solution
Les correctifs ont été publiés par Microsoft le 14/07/2020 et doivent être appliqués au plus vite.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation
Bulletin de sécurité Microsoft CVE-2020-1350 du 14 juillet 2020
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350  
[1] Bulletin du support technique Microsoft sur la vulnérabilité CVE-2020-1350
https://support.microsoft.com/fr-fr/help/4569509/windows-dns-server-remote-code-execution-vulnerability  
Avis CERT-FR CERTFR-2020-AVI-429 du 15 juillet 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-429  

Référence CVE CVE-2020-1350
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1350

Dernière version du document
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-016/

AVIS CERTFR - 2020 - AVI - 490

10 août 2020
actualite

Objet : Multiples vulnérabilités dans Apache ServerRéférence : CERTFR-2020-AVI-490Risque(s) - Déni de service à distance- Atteinte à la confidentia... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 489

10 août 2020
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2020-AVI-489Risque(s) - Non spécifié par l'éditeur - Déni de service... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-ALE-016