Le bogue Windows SIGNetwork DNS obtient le premier exploit public RCE PoC

  • Principal
  • Nouvelles
  • Le bogue Windows SIGNetwork DNS obtient le premier exploit public RCE PoC

Le bogue Windows SIGNetwork DNS obtient le premier exploit public RCE PoC

Une vulnérabilité fonctionnelle de preuve de concept (PoC) est désormais disponible publiquement pour la vulnérabilité RedSIG Windows DNS Server Critical Remote Code Execution (RCE).

Microsoft a publié des mises à jour de sécurité pour corriger la faille de sécurité signalée comme CVE-2020-1350 le 14 juillet 2020, ainsi qu'un solution de contournement basée sur le registre qui aide à protéger les serveurs Windows affectés contre les attaques.

SIGRed est dans le code de Microsoft depuis plus de 17 ans, affecte toutes les versions de Windows Server de 2003 à 2019 et a reçu un score de gravité maximum de 10 sur 10.

Microsoft a classé le défaut comme Ver de terre , indiquant que le logiciel malveillant qui l'exploite peut se propager automatiquement entre les machines vulnérables du réseau sans interaction de l'utilisateur.

Cela le place dans la même catégorie de risque que le bogue BlueKeep RDP (Remote Desktop Protocol) et le bogue EternalBlue dans Server Message Block (SMB).

Après avoir réussi à tirer parti de SIGRed contre les serveurs de contrôleur de domaine (DC) exécutant DNS, les attaquants non authentifiés peuvent exécuter du code à distance tel que SYSTEM.

Testé sur plusieurs versions de Windows Server

Valentina Palmiotti, chercheuse responsable de la sécurité chez Grapl, qui partagé le PoC a également publié un article détaillant les méthodes utilisées par l'exploit.

'S'ils sont exploités avec précaution, les attaquants peuvent exécuter du code à distance sur le système vulnérable et obtenir des droits d'administrateur de domaine, compromettant ainsi l'ensemble de l'infrastructure de l'entreprise', a déclaré Palmiotti. expliqué .

L'exploit d'exploitation PoC ( 1 , deux ) a été testé avec succès sur des versions 64 bits non corrigées de Windows Server 2019, 2016, 2012R2 et 2012.

Les administrateurs qui n'ont pas encore corrigé leurs serveurs peuvent demander et ne peuvent pas déployer immédiatement les mises à jour de sécurité nécessaires Solution de contournement Microsoft (aucun redémarrage requis).

L'article de Palmiotti comprend également des informations sur la façon de créer des règles SIEM pour détecter l'exploitation SIGRed.

Le chercheur a partagé une vidéo de démonstration montrant l'exploit SigRed CVE-2020-1350 RCE en action.

''>

Exploiter le SIGRed DoS accessible au public

Les vulnérabilités SIGRed PoC ont été publiées précédemment, avec des scripts conçus pour déclencher des conditions de déni de service (DoS) partagées publiquement, quelques jours après que Microsoft a corrigé le bogue.

Cependant, il s'agit du premier exploit d'exécution de code à distance disponible depuis que Microsoft a corrigé la vulnérabilité.

Pour créer ce PoC RCE, Palmiotti a utilisé certaines techniques d'exploitation partagées par le chercheur en sécurité de DATAFARM, Worawit Wang, dans un écris le publié en septembre 2020.

Deux jours après que Microsoft ait corrigé le bogue, la CISA a ordonné aux agences fédérales de corriger la faille du ver SIGRed dans les 24 heures.

La NSA a également émis un avertissement exhortant les administrateurs à appliquer immédiatement le correctif CVE-2020-1350 à tous les serveurs Windows.

Qu'est-ce que tu penses?