Une vulnérabilité de sévérité importante (10.0) et qualifiée de « ver » a été découverte dans Windows DNS, les services DNS fournis par Microsoft pour chaque système d’exploitation Windows. Toutes les entreprises doivent vérifier et corriger dès maintenant cette faille, qui est présente dans le code de Microsoft depuis plus de 17 ans !
C’est le chercheur Sagi Tzaik, de Check Point, qui a identifié cette faille de sécurité dans Windows DNS (services de nom de domaine). Des pirates pourraient exploiter la vulnérabilité afin d’obtenir des droits d’administrateur de domaine sur les serveurs et prendre le contrôle total de l’infrastructure informatique d’une entreprise. La vulnérabilité critique (dénommée SigRed par les chercheurs de Check Point) affecte toutes les versions du serveur Windows. Une seule exploitation de la vulnérabilité peut provoquer une réaction en chaîne et permettre aux attaques de se propager d’un ordinateur à un autre. Il faut donc appliquer, si vous n’avez pas de mise à jour automatique, le Patch Tuesday de juillet de Microsoft qui a résolu le problème à la suite de cette découverte (correctif CVE-2020-135). Voyez ici.
Bloquer l’attaque potentielle
La probabilité que cette vulnérabilité soit exploitée est élevée selon Omri Herscovici, responsable de l’équipe de chercheurs de CheckPoint : « Une faille de sécurité sur un serveur DNS est une chose très grave. La plupart du temps, cela met un pirate à deux doigts d’ouvrir une brèche dans toute l’entreprise. Il n’existe que quelques rares vulnérabilités de ce type. Toute entreprise, petite ou grande, utilisant l’infrastructure Microsoft est exposée à un risque majeur de sécurité si la brèche n’est pas refermée. Le risque serait une vulnérabilité totale de l’ensemble du réseau de l’entreprise. Cette faille de sécurité est présente dans le code de Microsoft depuis plus de 17 ans ; donc si nous l’avons trouvée, il n’est pas impossible de supposer que quelqu’un d’autre l’a également déjà trouvée. ».
Le chercheur donne cette mesure temporaire pour bloquer une attaque. Dans « CMD », saisissez :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
Le système DNS
Le système DNS, souvent appelé l’« annuaire d’Internet », fait partie de l’infrastructure mondiale d’Internet et est chargé de traduire les noms de sites web familiers en chaînes de chiffres dont les ordinateurs ont besoin pour localiser ces sites ou envoyer des emails. Des serveurs DNS sont présents dans toutes les entreprises et, s’ils étaient exploités, permettraient à un pirate d’obtenir des droits d’administrateur de domaine sur le serveur, lui permettant ainsi d’intercepter et de manipuler les emails et le trafic réseau des utilisateurs, d’empêcher l’accès à des services, de récolter les identifiants des utilisateurs, etc., bref de prendre le contrôle total de l’infrastructure informatique d’une entreprise.