{"id":15293,"date":"2020-07-16T13:24:28","date_gmt":"2020-07-16T13:24:28","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15293"},"modified":"2020-07-16T13:24:28","modified_gmt":"2020-07-16T13:24:28","slug":"cve-2020-1350-dns-rce","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1350-dns-rce\/15293\/","title":{"rendered":"CVE-2020-1350 : Vuln\u00e9rabilit\u00e9s dans les serveurs DNS de Windows"},"content":{"rendered":"

Microsoft a signal\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2020-1350 dans le serveur DNS de Windows. La mauvaise nouvelle : La vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 not\u00e9e d\u2019un 10 sur l\u2019\u00e9chelle CVSS, ce qui signifie qu\u2019elle est critique. La bonne nouvelle : Les cybercriminels ne peuvent l\u2019exploiter que si le syst\u00e8me fonctionne en mode serveur DNS ; en d\u2019autres termes, le nombre d\u2019ordinateurs potentiellement vuln\u00e9rables est relativement faible. De plus, l\u2019entreprise a d\u00e9j\u00e0 publi\u00e9 des correctifs et une solution de contournement.<\/a><\/p>\n

Quelle est la vuln\u00e9rabilit\u00e9, et en quoi est-elle dangereuse ?<\/h2>\n

Le CVE-2020-1350 permet \u00e0 un malfaiteur de forcer les serveurs DNS ex\u00e9cutant Windows Server \u00e0 ex\u00e9cuter un code malveillant \u00e0 distance. En d\u2019autres termes, la vuln\u00e9rabilit\u00e9 appartient \u00e0 la classe RCE<\/a>. Pour exploiter la vuln\u00e9rabilit\u00e9 CVE-2020-1350, il suffit d\u2019envoyer une requ\u00eate sp\u00e9cialement g\u00e9n\u00e9r\u00e9e au serveur DNS.<\/p>\n

Le code tiers est ensuite ex\u00e9cut\u00e9 dans le contexte du compte LocalSystem.<\/a> Ce compte dispose de privil\u00e8ges \u00e9tendus sur l\u2019ordinateur local et agit comme un ordinateur sur le r\u00e9seau. En outre, le sous-syst\u00e8me de s\u00e9curit\u00e9 ne reconna\u00eet pas le compte LocalSystem. Selon Microsoft, le principal danger de la vuln\u00e9rabilit\u00e9 est qu\u2019elle peut \u00eatre utilis\u00e9e pour r\u00e9pandre une menace sur le r\u00e9seau local ; c\u2019est-\u00e0-dire qu\u2019elle pourrait constituer le point d\u2019entr\u00e9e d\u2019un ver<\/em>.<\/p>\n

Qui est dans la zone \u00e0 risque du CVE-2020-1350 ?<\/h2>\n

Toutes les versions de Windows Server sont vuln\u00e9rables, mais seulement si elles fonctionnent en mode serveur DNS. Si votre entreprise ne dispose pas d\u2019un serveur DNS, ou utilise un serveur DNS bas\u00e9 sur un syst\u00e8me d\u2019exploitation diff\u00e9rent, vous n\u2019avez pas \u00e0 vous inqui\u00e9ter.<\/p>\n

Heureusement, la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte par Check Point Research, et il n\u2019existe pas encore d\u2019informations publiques sur la mani\u00e8re de l\u2019exploiter. En outre, il n\u2019existe actuellement aucune preuve que CVE-2020-1350 ait \u00e9t\u00e9 exploit\u00e9 par des attaquants.<\/p>\n

Cependant, il est tr\u00e8s probable que d\u00e8s que Microsoft a recommand\u00e9 la mise \u00e0 jour du syst\u00e8me, les cybercriminels ont commenc\u00e9 \u00e0 se pencher sur les serveurs DNS vuln\u00e9rables et les correctifs publi\u00e9s pour trouver comment exploiter la vuln\u00e9rabilit\u00e9. Il ne faut absolument pas tarder \u00e0 installer le correctif.<\/p>\n

Que faire<\/h2>\n

Comme mentionn\u00e9 ci-dessus, la meilleure chose \u00e0 faire est d\u2019installer le correctif de Microsoft, qui modifie la m\u00e9thode de traitement des requ\u00eates par les serveurs DNS. Le correctif est disponible pour Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server version 1903, Windows Server version 1909 et Windows Server version 2004. Vous pouvez le t\u00e9l\u00e9charger sur la page Microsoft d\u00e9di\u00e9e \u00e0 cette vuln\u00e9rabilit\u00e9<\/a>.<\/p>\n

Cependant, certaines grandes entreprises ont des r\u00e8gles internes et une routine \u00e9tablie pour les mises \u00e0 jour de logiciels, et leurs administrateurs syst\u00e8me peuvent ne pas \u00eatre en mesure d\u2019installer le correctif imm\u00e9diatement. Pour \u00e9viter que les serveurs DNS ne soient compromis dans de tels cas, l\u2019entreprise a \u00e9galement propos\u00e9 un contournement<\/a>. Cela suppose de r\u00e9aliser les modifications suivantes dans le registre du syst\u00e8me\u00a0:<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters
\nDWORD = TcpReceivePacketSize
\nValue = 0xFF00<\/p><\/blockquote>\n

Apr\u00e8s avoir enregistr\u00e9 les modifications, vous devrez red\u00e9marrer le serveur. Notez que ce contournement peut potentiellement conduire \u00e0 un fonctionnement incorrect du serveur dans les cas rares o\u00f9 le serveur re\u00e7oit un paquet TCP de plus de 65 280 octets. Microsoft recommande donc de supprimer la cl\u00e9 TcpReceivePacketSize et sa valeur, et de remettre l\u2019entr\u00e9e de registre dans son \u00e9tat d\u2019origine, une fois que le correctif a \u00e9t\u00e9 install\u00e9.<\/p>\n

Quant \u00e0 nous, nous voulons vous rappeler que le serveur DNS qui fonctionne dans votre infrastructure est un ordinateur, comme tout autre terminal. Il peut \u00e9galement pr\u00e9senter des vuln\u00e9rabilit\u00e9s que les cybercriminels peuvent essayer d\u2019exploiter. Par cons\u00e9quent, comme tout autre point d\u2019extr\u00e9mit\u00e9 du r\u00e9seau, il n\u00e9cessite une solution de s\u00e9curit\u00e9, telle que Kaspersky Endpoint Security for Business.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Microsoft a publi\u00e9 un correctif pour une vuln\u00e9rabilit\u00e9 critique de RCE dans les syst\u00e8mes Windows Server.<\/p>\n","protected":false},"author":2581,"featured_media":15294,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[3957,3958,31,60,322],"class_list":{"0":"post-15293","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-correctif","11":"tag-dns","12":"tag-microsoft","13":"tag-vulnerabilite","14":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1350-dns-rce\/15293\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1350-dns-rce\/21562\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/17025\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/8438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/22822\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1350-dns-rce\/21013\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/19661\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1350-dns-rce\/23491\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1350-dns-rce\/22334\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1350-dns-rce\/28735\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1350-dns-rce\/8588\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/36366\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1350-dns-rce\/15766\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1350-dns-rce\/13690\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1350-dns-rce\/24721\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1350-dns-rce\/25687\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1350-dns-rce\/22591\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1350-dns-rce\/27846\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1350-dns-rce\/27682\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15293"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15293\/revisions"}],"predecessor-version":[{"id":15301,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15293\/revisions\/15301"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15294"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}