Vulnérabilités dans Microsoft DNS Server

Date de publication :

À travers son dernier correctif de sécurité mensuel, Microsoft a corrigé plusieurs vulnérabilités au sein de ses produits. Parmi ces vulnérabilités, cinq d'entre elles affectent le service DNS de Windows. La probabilité de leur exploitation dans un avenir proche est importante. Ces failles font ainsi l’objet d’un bulletin à part entière.

CVE-2021-26877, CVE-2021-26893, CVE-2021-26894, CVE-2021-26895, CVE-2021-26897 [Score CVSS v3 : 9.8] : Plusieurs vulnérabilités concernant le mécanisme de Dynamic Zone Update dans Microsoft DNS Server ont été corrigées. Leur exploitation peut permettre à un attaquant distant d’injecter du code arbitraire avec les privilèges SYSTEM. Lorsque le serveur DNS est intégré à Active Directory (procédure par défaut), l’exploitation de ces vulnérabilités peut permettre à un attaquant de prendre le contrôle du domaine Active Directory.

La criticité de ces vulnérabilités varie selon l’implémentation de Dynamic Zone Update.

En effet, ce mécanisme dispose de deux modes : sécurisé et non sécurisé.

En mode non sécurisé, un attaquant peut exploiter ces vulnérabilités sans être authentifié au préalable.

En mode sécurisé, l’attaquant devra, au préalable, s’authentifier auprès du domaine Active Directory afin d’exploiter ces vulnérabilités.

Par ailleurs, il est possible de vérifier le mode dans lequel est configuré la zone DNS en lançant la commande suivante :

Dnscmd nom_du_serveur /ZoneInfo zone_DNS_a_verifier AllowUpdate

Cette fonction peut renvoyer trois résultats :

    0 : la zone DNS n’effectue pas de mise à jour dynamique.
    1 : la zone DNS peut être mise à jour de façon non sécurisée.
    2 : la zone DNS peut-être mise à jour de façon sécurisée.

Dans le cas où un service Microsoft DNS est exposé sur Internet, il est déconseillé d’activer les mises à jour automatiques (sécurisées ou non).

Dans le reste des cas, il est recommandé de n’autoriser que les mises à jour sécurisées.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Elévation de privilèges
    Injection de code arbitraire

Criticité

    Scores CVSS v3 : 9.8

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Les versions des dispositifs hébergeant des applications Microsoft DNS Server impactées sont les suivantes :

    Windows server 2008, 2008 R2
    Windows server 2012, 2012 R2
    Windows server 2016
    Windows server 2019
    Windows server, version 1909, 2004, 20H2

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les logiciels impactés conformément aux instructions de Microsoft.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.