Par Bhabesh Raj Rai, Associate Security Analytics Engineer, LogPoint

Pour le Patch Tuesday de juillet, Microsoft a publié un total de 123 correctifs. Parmi eux, 18 sont critiques et impactent les produits Windows Server et Office. Aucun des bugs répertoriés dans cet avis n’est exploité dans la vraie vie au moment où nous publions cet article.

L’élément le plus important de ce Patch Tuesday est une vulnérabilité critique d’exécution de code à distance DNS (CVE-2020-1350) affichant un score CVSSv3 de 10. La dangerosité de ce bug est aggravée par le fait que cette vulnérabilité est de type ver, signifiant ainsi qu’elle peut se propager d’un poste à un autre sans aucune interaction avec l’utilisateur. Notez que la vulnérabilité affecte uniquement l’implémentation du serveur DNS Windows de Microsoft, le client DNS Windows n’est donc pas affecté.

Pour exploiter cette vulnérabilité, un attaquant non authentifié doit envoyer des requêtes malveillantes à un serveur DNS Windows. Un attaquant qui parviendrait à exploiter cette dernière pourrait alors exécuter du code arbitraire dans le contexte du Local System Account. Le vecteur d’attaque nécessite des paquets DNS très volumineux, signifiant ainsi que de telles attaques ne peuvent pas être menées via UDP.

Les chercheurs de Checkpoint ont déclenché cette vulnérabilité en demandant au serveur DNS cible un enregistrement SIG et en y répondant avec une réponse SIG ayant une signature de taille supérieure à 64 Ko. Les chercheurs ont également découvert que les navigateurs pouvaient déclencher cette vulnérabilité, qu’ils ont nommée SIGRED, en dissimulant une requête DNS au sein d’une requête HTTP dans le cadre des données POST. Cependant, cette dernière ne peut être exploitée qu’en utilisant des navigateurs acceptant les requêtes HTTP au niveau du port 53, y compris les versions Internet Explorer et Microsoft Edge qui n’utilisent pas Chromium.

Détection grâce à LogPoint

Le type de requête DNS SIG est très rare sur la plupart des réseaux. Si vous n’avez aucun outil de type Network Security Monitoring (NSM) comme Zeek (Bro) installé pour surveiller le trafic Est-Ouest, alors les logs DNS analytiques, en particulier QUERY_RECEIVED (ID d’événement 256) et RESPONSE_SUCCESS (ID d’événement 257), pourront être utilisés, à partir du serveur DNS, pour détecter un type rare de requête DNS SIG.

La requête suivante détectera toutes les tentatives d’exploitation de CVE-2020-5902.

norm_id=WinServer event_source=Microsoft-Windows-DNSServer event_id=256 request_code=24

Les logs Zeek peuvent également surveiller le trafic DNS.

norm_id=BroIDS label=DNS query_type_number=24

Si vous avez intégré votre environnement AD avec Cisco Umbrella, vous pouvez envoyer une requête à Umbrella.

norm_id=CiscoUmbrella event_category=DNS query_type="24 *"

Dans les serveurs DNS, nous pouvons surveiller les créations de processus suspects via dns.exe en utilisant les logs d’événements Windows afin de détecter une éventuelle exploitation réussie.

norm_id=WinServer label="Process" label=Create parent_process="*\dns.exe" -"process" IN ["*\dnscmd.exe", "*\werfault.exe", "*\conhost.exe"]

Rapid7 Labs a détecté une augmentation significative des analyses de version DNS sur Internet à partir de sources bienveillantes et malveillantes après la publication de l’avis en question. Il est fort probable que des adversaires potentiels tenteront très prochainement d’utiliser cet exploit à des fins cybercriminelles.  Microsoft recommande à tous ceux qui utilisent des serveurs DNS d’installer la mise à jour de sécurité dès que possible. Cependant, si une correction immédiate n’est pas possible, Microsoft suggère également une modification du registre qui limite la taille des paquets TCP que le serveur pourra traiter.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Après avoir installé le correctif, les administrateurs peuvent annuler la modification du registre réalisée lors de la mise en place de cette solution temporaire. Habituellement, les serveurs DNS Windows sont également des contrôleurs de domaine, il est donc fortement conseillé d’installer le correctif dès que possible.