Vulnérabilité SIGRed

Une vulnérabilité nommée SIGRed et portant le numéro de CVE-2020-1350 a été découverte et reportée le 19 mai 2020 par l’équipe de recherche de Checkpoint à Microsoft.

RISQUES

  • Exécution de code à distance
  • Compromission du serveur
  • Exfiltration de données

SYSTÈMES AFFECTÉS

Les versions serveurs suivantes sont affectées (lorsque le service DNS est activé) :

  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Source :

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

VULNÉRABILITÉ SIGRED

La vulnérabilité SIGRed affecte le service DNS pouvant être activé par les versions serveurs de Microsoft Windows.

Elle est jugée critique par Microsoft car le service DNS s’exécute avec des droits élevés (SYSTEM) permettant à un attaquant de prendre le contrôle du serveur à distance en cas d’exploitation réussie.

Dans un environnement Microsoft, il est fréquent de voir le service DNS hébergé directement sur le contrôleur de domaine, dans cette éventualité, l’attaquant disposerait d’un accès privilégié (SYSTEM) sur un (ou des) service(s) critique(s) d’un système d’information.

Les correctifs Microsoft ont été mis à disposition lors de la publication du Patch Tuesday du mois de juillet qui corrige 123 vulnérabilités affectant 13 produits :

  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Edge (Chromium-based) in IE Mode
  • Microsoft ChakraCore
  • Internet Explorer
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Windows Defender
  • Skype for Business
  • Visual Studio
  • Microsoft OneDrive
  • Open Source Software
  • .NET Framework
  • Azure DevOps

Source :

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jul

RECOMMANDATIONS

Au regard de la sensibilité des informations traitées par le service DNS, associée à la criticité de l’execution de code avec des droits SYSTEM sur un serveur, il est recommandé de procéder à l’application du correctif Microsoft dans les meilleurs délais d’autant que les premiers codes d’exploitations devraient rapidement être disponibles.

Source :

https://github.com/search?q=CVE-2020-1350

Une attention particulière doit être apportée par les chercheurs ou administrateurs qui souhaitent comprendre le fonctionnement de la vulnérabilité. Certains codes indiqués comme étant des POC sont en réalité des pièges de type RickRoll mais d’autres pourraient s’avérer plus dangereux.

Exemple de code type RickRoll se faisant passer pour un POC :

https://github.com/ZephrFish/CVE-2020-1350

En cas d’impossibilité d’appliquer le correctif, la création d’une clé dans la base de registre suivi d’un redémarrage du service DNS permet de protéger le serveur des techniques d’exploitations connues à la date de rédaction de ce bulletin.

Commande permettant l’ajout en base de registre :

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f

Commande permettant le redémarrage du service :

net stop DNS && net start DNS

TEHTRIS se tient à votre disposition pour toute information complémentaire.