{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Les versions de Windows h\u00e9bergeant le serveur DNS Microsoft suivantes sont affect\u00e9es\u00a0:</p> <ul> <li>Windows server 2008, 2008 R2</li> <li>Windows server 2012, 2012 R2</li> <li>Windows server 2016</li> <li>Windows server 2019</li> <li>Windows server, version 1909, 2004, 20H2</li> </ul> ","closed_at":"2021-05-12","content":"## Solution\n\nL\u2019ANSSI recommande d\u2019appliquer les correctifs d\u00e8s que possible (cf.\nsection Documentation) et de suivre les recommandations de l\u2019\u00e9diteur\nafin de limiter la fen\u00eatre d\u2019exposition des produits vuln\u00e9rables.\n\nPar ailleurs, l\u2019ANSSI recommande fortement\u00a0:\n\n-   De ne pas exposer sur Internet de service DNS *Microsoft*\n    s'ex\u00e9cutant sur un contr\u00f4le de domaine ou un serveur membre d'un\n    domaine ;\n-   De ne pas autoriser les mises \u00e0 jour dynamiques de zone DNS\n    (s\u00e9curis\u00e9es ou non) en cas d'exposition d'un service DNS *Microsoft*\n    sur Internet ;\n-   De ne pas autoriser les mises \u00e0 jour non s\u00e9curis\u00e9es en cas\n    d'utilisation d'un service DNS *Microsoft* dans le cadre d'une\n    infrastructure *Active Directory.*\n\n\u00a0\n\n------------------------------------------------------------------------\n\nPour rappel, il est possible de contr\u00f4ler le param\u00e9trage d\u2019une zone DNS\navec la commande\u00a0:\n\n    Dnscmd nom_du_serveur /ZoneInfo zone_DNS_a_verifier AllowUpdate\n\nLe r\u00e9sultat est l\u2019un des 3 suivants\u00a0:\n\n-   0\u00a0: la zone est statique\n-   1\u00a0: la zone DNS peut \u00eatre mise \u00e0 jour de fa\u00e7on non s\u00e9curis\u00e9e (non\n    recommand\u00e9)\n-   2 : la zone DNS peut \u00eatre mise \u00e0 jour de fa\u00e7on s\u00e9curis\u00e9e (\u00e0 risque\n    pour les \u00e9quipements vuln\u00e9rables)\n\nCette information peut \u00eatre \u00e9galement v\u00e9rifi\u00e9e en consultant la valeur\nDSPROPERTY_ZONE_ALLOW_UPDATE pr\u00e9sente dans les attributs dnsProperty de\nchaque zone DNS configur\u00e9e \\[1\\].\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n","cves":[{"name":"CVE-2021-26893","url":"https://www.cve.org/CVERecord?id=CVE-2021-26893"},{"name":"CVE-2021-26897","url":"https://www.cve.org/CVERecord?id=CVE-2021-26897"},{"name":"CVE-2021-26894","url":"https://www.cve.org/CVERecord?id=CVE-2021-26894"},{"name":"CVE-2021-26877","url":"https://www.cve.org/CVERecord?id=CVE-2021-26877"},{"name":"CVE-2021-26895","url":"https://www.cve.org/CVERecord?id=CVE-2021-26895"}],"links":[{"title":"[1] Documentation Microsoft concernant DNSP","url":"https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dnsp/3af63871-0cc4-4179-916c-5caade55a8f3"}],"reference":"CERTFR-2021-ALE-005","revisions":[{"description":"Version initiale","revision_date":"2021-03-12T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-05-12T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"\u00a0\n\n#### Contexte\n\nSept vuln\u00e9rabilit\u00e9s concernant le serveur DNS de Microsoft ont fait\nl\u2019objet d\u2019un correctif \u00e0 l\u2019occasion de la mise \u00e0 jour mensuelle de mars\n2021. Parmi ces vuln\u00e9rabilit\u00e9s, deux permettent un d\u00e9ni de service alors\nque les cinq autres permettent une ex\u00e9cution de code arbitraire \u00e0\ndistance. Ces vuln\u00e9rabilit\u00e9s, identifi\u00e9es par CVE-2021-26877,\nCVE-2021-26897, CVE-2021-26893, CVE-2021-26894 et CVE-2021-26895 sont\nconsid\u00e9r\u00e9es comme critiques.\n\n\u00a0\n\n#### Nature et impact des vuln\u00e9rabilit\u00e9s\n\nToutes les vuln\u00e9rabilit\u00e9s affectent le m\u00e9canisme de *Dynamic Zone\nUpdate* du serveur DNS de *Microsoft*.\n\nCe m\u00e9canisme existe en mode s\u00e9curis\u00e9 (dans ce mode, les demandes de mise\n\u00e0 jour d'enregistrement DNS doivent \u00eatre authentifi\u00e9es et autoris\u00e9es\npour \u00eatre accept\u00e9es*) ou non-s\u00e9curis\u00e9 (dans ce cas, le serveur DNS\naccepte toutes les demandes de mise \u00e0 jour d'un enregistrement DNS).\n\n\u00a0\n\nLe m\u00e9canisme est configur\u00e9 diff\u00e9remment suivant les installations\u00a0:\n\n-   Lorsque la zone DNS est int\u00e9gr\u00e9e \u00e0 *Active Directory*, le mode\n    s\u00e9curis\u00e9 est activ\u00e9 par d\u00e9faut\u00a0;\n-   Lorsque la zone DNS n\u2019est pas int\u00e9gr\u00e9e \u00e0 *Active Directory* mais\n    stock\u00e9e localement sur le serveur DNS, le m\u00e9canisme *Dynamic Zone\n    Update* n\u2019est pas activ\u00e9 par d\u00e9faut. S\u2019il est activ\u00e9, il ne sera\n    disponible que dans le mode non-s\u00e9curis\u00e9 (non recommand\u00e9).\n\n\u00a0\n\nLes impacts des vuln\u00e9rabilit\u00e9s sont les suivants\u00a0:\n\n-   Si le mode non-s\u00e9curis\u00e9 est activ\u00e9, l\u2019attaquant peut anonymement\n    forger une requ\u00eate sp\u00e9cifiquement con\u00e7ue pour exploiter ces\n    vuln\u00e9rabilit\u00e9s ;\n-   Si le mode s\u00e9curis\u00e9 est activ\u00e9, l\u2019attaquant doit \u00eatre pr\u00e9alablement\n    authentifi\u00e9 dans le domaine Active Directory pour exploiter ces\n    vuln\u00e9rabilit\u00e9s.\n\nIl est important de noter que le serveur DNS de Microsoft est ex\u00e9cut\u00e9\navec le compte de service SYSTEM. L'exploitation d'une des\nvuln\u00e9rabilit\u00e9s permet donc \u00e0 l'attaquant d'ex\u00e9cuter du code arbitraire\navec les droits et les privil\u00e8ges du compte de service SYSTEM.\n\nL\u2019\u00e9diteur estime que l\u2019exploitation prochaine des vuln\u00e9rabilit\u00e9s\nCVE-2021-26877 et CVE-2021-26897 est \u00e0 anticiper. Par d\u00e9faut, les\nserveurs DNS sont install\u00e9s sur les Contr\u00f4leurs de Domaine *Active\nDirectory*. Cette caract\u00e9ristique rend les vuln\u00e9rabilit\u00e9s\nparticuli\u00e8rement critiques puisque leur exploitation permettrait \u00e0 un\nattaquant de prendre le contr\u00f4le du domaine Active Directory.\n\n\u00a0\n\n(\\*) Via le m\u00e9canisme GSS-TSIG qui s\u2019appuie sur Kerberos pour\nauthentifier les \u00e9metteurs des requ\u00eates\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Microsoft DNS server","vendor_advisories":[{"published_at":"2021-03-09","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-26877","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26877"},{"published_at":"2021-03-09","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-26895","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26895"},{"published_at":"2021-03-10","title":"Avis CERT-FR CERTFR-2021-AVI-181","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-181/"},{"published_at":"2021-03-09","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-26897","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26897"},{"published_at":"2021-03-09","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-26893","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26893"},{"published_at":"2021-03-09","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-26894","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26894"}]}