Vulnérabilités dans Microsoft DNS Server

À travers son dernier correctif de sécurité mensuel, Microsoft a corrigé plusieurs vulnérabilités au sein de ses produits. Parmi ces vulnérabilités, cinq d'entre elles affectent le service DNS de Windows. La probabilité de leur exploitation dans un avenir proche est importante. Ces failles font ainsi l’objet d’un bulletin à part entière.

CVE-2021-26877, CVE-2021-26893, CVE-2021-26894, CVE-2021-26895, CVE-2021-26897 [Score CVSS v3 : 9.8] : Plusieurs vulnérabilités concernant le mécanisme de Dynamic Zone Update dans Microsoft DNS Server ont été corrigées. Leur exploitation peut permettre à un attaquant distant d’injecter du code arbitraire avec les privilèges SYSTEM. Lorsque le serveur DNS est intégré à Active Directory (procédure par défaut), l’exploitation de ces vulnérabilités peut permettre à un attaquant de prendre le contrôle du domaine Active Directory.

La criticité de ces vulnérabilités varie selon l’implémentation de Dynamic Zone Update.

En effet, ce mécanisme dispose de deux modes : sécurisé et non sécurisé.

En mode non sécurisé, un attaquant peut exploiter ces vulnérabilités sans être authentifié au préalable.

En mode sécurisé, l’attaquant devra, au préalable, s’authentifier auprès du domaine Active Directory afin d’exploiter ces vulnérabilités.

Par ailleurs, il est possible de vérifier le mode dans lequel est configuré la zone DNS en lançant la commande suivante :

Dnscmd nom_du_serveur /ZoneInfo zone_DNS_a_verifier AllowUpdate

Cette fonction peut renvoyer trois résultats :

• 0 : la zone DNS n’effectue pas de mise à jour dynamique.
• 1 : la zone DNS peut être mise à jour de façon non sécurisée.
• 2 : la zone DNS peut-être mise à jour de façon sécurisée.

Dans le cas où un service Microsoft DNS est exposé sur Internet, il est déconseillé d’activer les mises à jour automatiques (sécurisées ou non).

Dans le reste des cas, il est recommandé de n’autoriser que les mises à jour sécurisées.