CVE-2020-1350 : Vulnérabilités dans les serveurs DNS de Windows

Microsoft a publié un correctif pour une vulnérabilité critique de RCE dans les systèmes Windows Server.

Microsoft a signalé la vulnérabilité CVE-2020-1350 dans le serveur DNS de Windows. La mauvaise nouvelle : La vulnérabilité a été notée d’un 10 sur l’échelle CVSS, ce qui signifie qu’elle est critique. La bonne nouvelle : Les cybercriminels ne peuvent l’exploiter que si le système fonctionne en mode serveur DNS ; en d’autres termes, le nombre d’ordinateurs potentiellement vulnérables est relativement faible. De plus, l’entreprise a déjà publié des correctifs et une solution de contournement.

Quelle est la vulnérabilité, et en quoi est-elle dangereuse ?

Le CVE-2020-1350 permet à un malfaiteur de forcer les serveurs DNS exécutant Windows Server à exécuter un code malveillant à distance. En d’autres termes, la vulnérabilité appartient à la classe RCE. Pour exploiter la vulnérabilité CVE-2020-1350, il suffit d’envoyer une requête spécialement générée au serveur DNS.

Le code tiers est ensuite exécuté dans le contexte du compte LocalSystem. Ce compte dispose de privilèges étendus sur l’ordinateur local et agit comme un ordinateur sur le réseau. En outre, le sous-système de sécurité ne reconnaît pas le compte LocalSystem. Selon Microsoft, le principal danger de la vulnérabilité est qu’elle peut être utilisée pour répandre une menace sur le réseau local ; c’est-à-dire qu’elle pourrait constituer le point d’entrée d’un ver.

Qui est dans la zone à risque du CVE-2020-1350 ?

Toutes les versions de Windows Server sont vulnérables, mais seulement si elles fonctionnent en mode serveur DNS. Si votre entreprise ne dispose pas d’un serveur DNS, ou utilise un serveur DNS basé sur un système d’exploitation différent, vous n’avez pas à vous inquiéter.

Heureusement, la vulnérabilité a été découverte par Check Point Research, et il n’existe pas encore d’informations publiques sur la manière de l’exploiter. En outre, il n’existe actuellement aucune preuve que CVE-2020-1350 ait été exploité par des attaquants.

Cependant, il est très probable que dès que Microsoft a recommandé la mise à jour du système, les cybercriminels ont commencé à se pencher sur les serveurs DNS vulnérables et les correctifs publiés pour trouver comment exploiter la vulnérabilité. Il ne faut absolument pas tarder à installer le correctif.

Que faire

Comme mentionné ci-dessus, la meilleure chose à faire est d’installer le correctif de Microsoft, qui modifie la méthode de traitement des requêtes par les serveurs DNS. Le correctif est disponible pour Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server version 1903, Windows Server version 1909 et Windows Server version 2004. Vous pouvez le télécharger sur la page Microsoft dédiée à cette vulnérabilité.

Cependant, certaines grandes entreprises ont des règles internes et une routine établie pour les mises à jour de logiciels, et leurs administrateurs système peuvent ne pas être en mesure d’installer le correctif immédiatement. Pour éviter que les serveurs DNS ne soient compromis dans de tels cas, l’entreprise a également proposé un contournement. Cela suppose de réaliser les modifications suivantes dans le registre du système :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Après avoir enregistré les modifications, vous devrez redémarrer le serveur. Notez que ce contournement peut potentiellement conduire à un fonctionnement incorrect du serveur dans les cas rares où le serveur reçoit un paquet TCP de plus de 65 280 octets. Microsoft recommande donc de supprimer la clé TcpReceivePacketSize et sa valeur, et de remettre l’entrée de registre dans son état d’origine, une fois que le correctif a été installé.

Quant à nous, nous voulons vous rappeler que le serveur DNS qui fonctionne dans votre infrastructure est un ordinateur, comme tout autre terminal. Il peut également présenter des vulnérabilités que les cybercriminels peuvent essayer d’exploiter. Par conséquent, comme tout autre point d’extrémité du réseau, il nécessite une solution de sécurité, telle que Kaspersky Endpoint Security for Business.

Conseils