+33 608 583 961 [email protected]

Une vulnérabilité a été découverte dans le service Microsoft Domain Name System (DNS) Server. Cette vulnérabilité se situe dans le code qui analyse les réponses à des requêtes DNS. Elle peut être exploitée par un attaquant qui aurait le contrôle d’un serveur DNS ayant autorité sur un nom de domaine Internet. En construisant une réponse, dans un format particulier, à une requête légitime émise par un serveur Microsoft DNS Server, l’attaquant peut provoquer un dépassement de tampon (buffer overflow) au niveau du service Microsoft DNS Server.
L’exploitation de cette vulnérabilité peut résulter en une exécution de code arbitraire avec les privilèges SYSTEM.
Le service Microsoft DNS Server étant généralement activé sur les contrôleurs de domaines Active Directory, l’attaquant est alors capable de compromettre les contrôleurs de domaines Active Directory du système d’information.

Contournement provisoire :
Les correctifs ont été publiés par Microsoft le 14/07/2020 et doivent être appliqués au plus vite. Cependant, un contournement temporaire peut être appliqué.
L’attaque consiste à répondre à une requête avec une réponse dépassant la taille de 65535 octets. Au-delà de 4096 octets, les services DNS utilisent le protocole TCP pour échanger les messages.
Le contournement proposé par l’éditeur [1] consiste à limiter la taille des messages acceptés par le service. Cette modification consiste à ajouter une clé de registre et à redémarrer le service DNS :
reg add « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters » /v « TcpReceivePacketSize » /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS
Cette opération doit être réalisée sur l’ensemble des machines portant le service Microsoft DNS Server

Source: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-16/