Vulnérabilités dans Microsoft DNS Server
Date de publication :
À travers son dernier correctif de sécurité mensuel, Microsoft a corrigé plusieurs vulnérabilités au sein de ses produits. Parmi ces vulnérabilités, cinq d'entre elles affectent le service DNS de Windows. La probabilité de leur exploitation dans un avenir proche est importante. Ces failles font ainsi l’objet d’un bulletin à part entière.
CVE-2021-26877, CVE-2021-26893, CVE-2021-26894, CVE-2021-26895, CVE-2021-26897 [Score CVSS v3 : 9.8] : Plusieurs vulnérabilités concernant le mécanisme de Dynamic Zone Update dans Microsoft DNS Server ont été corrigées. Leur exploitation peut permettre à un attaquant distant d’injecter du code arbitraire avec les privilèges SYSTEM. Lorsque le serveur DNS est intégré à Active Directory (procédure par défaut), l’exploitation de ces vulnérabilités peut permettre à un attaquant de prendre le contrôle du domaine Active Directory.
La criticité de ces vulnérabilités varie selon l’implémentation de Dynamic Zone Update.
En effet, ce mécanisme dispose de deux modes : sécurisé et non sécurisé.
En mode non sécurisé, un attaquant peut exploiter ces vulnérabilités sans être authentifié au préalable.
En mode sécurisé, l’attaquant devra, au préalable, s’authentifier auprès du domaine Active Directory afin d’exploiter ces vulnérabilités.
Par ailleurs, il est possible de vérifier le mode dans lequel est configuré la zone DNS en lançant la commande suivante :
Dnscmd nom_du_serveur /ZoneInfo zone_DNS_a_verifier AllowUpdate
Cette fonction peut renvoyer trois résultats :
-
0 : la zone DNS n’effectue pas de mise à jour dynamique.
1 : la zone DNS peut être mise à jour de façon non sécurisée.
2 : la zone DNS peut-être mise à jour de façon sécurisée.
Dans le cas où un service Microsoft DNS est exposé sur Internet, il est déconseillé d’activer les mises à jour automatiques (sécurisées ou non).
Dans le reste des cas, il est recommandé de n’autoriser que les mises à jour sécurisées.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Elévation de privilèges
Injection de code arbitraire
Criticité
-
Scores CVSS v3 : 9.8
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions des dispositifs hébergeant des applications Microsoft DNS Server impactées sont les suivantes :
-
Windows server 2008, 2008 R2
Windows server 2012, 2012 R2
Windows server 2016
Windows server 2019
Windows server, version 1909, 2004, 20H2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.