Actualités

SIGRed : découverte d’une vulnérabilité DNS au sein de Windows Server… depuis 2003 !

Les chercheurs de CheckPoint mettent en garde : depuis 2003 – soit 17 ans ! – une faille a pu activement être exploitée depuis Windows DNS Server en détournant de manière malveillante les retours-requêtes (réponses du DNS). Une fois le système / réseau infecté, la compromission peut aller jusqu’à “une infrastructure d’entreprise entière“.

 

 

En effet, comme expliqué en détail dans un billet de l’équipe sécuritaire datant du 14 Juillet dernier, le nœud résiderait dans “SIG” (d’où le nom de la vulnérabilité, “SIGRed“) qui pouvait, potentiellement, être détourné en outrepassant les 65 535 octets (valeur maximale, par entier de 16 bits, prise en charge dans la requête “réponse” DNS, en port TCP 53), provoquant ainsi un dépassement de tampon. Même sort pour le port UDP 53 : en chargeant au-delà de la limite (512 octets “ou 4 096 octets si le serveur supporte EDNS0”, un DNS permettant d’étendre en taille certains aspects de la configuration ou des outils), un drapeau TC (pour “TronCated”, tronqué) fera office de mention et renverra une requête – de redirection – vers le port TCP. Dans ce contexte, cette redirection, détournée, peut s’avérer malicieuse.

 

Un autre détournement réside depuis la compression du PTR – pointeur – record, qui associe une adresse IP à un nom de domaine. Cet encryptage serait donc caduque, selon les mises en lumière de CheckPoint qui fournit un exemple assez édifiant : “Pour le domaine 41414141.fun, 0xc00d pointe vers le premier caractère du domaine («4»). La valeur ordinale de ce caractère est ensuite utilisée comme taille de la chaîne non compressée («4» représente la valeur 0x34 (52)). L’agrégation de la taille de cette chaîne non compressée, avec la quantité maximale de données que nous pouvons contenir dans le champ Signature (jusqu’à 65 535, selon la requête d’origine), entraîne une valeur supérieure à 65 535 octets, provoquant ainsi le débordement !“. Outre un crash, une éventuelle modification (par écrasement…) de “certaines valeurs” pouvait être effectué. Enfin, les navigateurs Web, par l’entremise de pages en HTTP, serait un vecteur d’attaque.

 

La vulnérabilité, hautement critique, a été assignée CVE-2020-1350 et a été colmatée par Microsoft depuis le 14 Juillet, hier. Toujours dans le cadre du Patch Tuesday, Microsoft en a profité pour corriger, entre-autres, une vulnérabilité qui résidait dans l’authentification-utilisateur (en mode invité) permettant une exécution du code à distance. L’outil incriminé, RemoteFX vGPU, a été si nocif que certains systèmes en sont exempts, notamment au sein de Windows Server 2019 et de la plupart des versions Windowsà compter du 14 Juillet” dont Windows 10 (toute version confondue, donc) a été fortement impacté. Le bulletin sécuritaire (CVE-2020-1036) évoqué, aussi, les versions 2008, 2012 et 2016 de Windows Server. En remplacement, la firme de Redmond préconise l’utilisation de DDA (Discrete Device Assignment)… A veiller !

 

 

Source : CheckPoint – 14 Juillet 2020 – SIGRed : vulnérabilité hautement critique dans les DNS de Windows Server.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020