Embed Size (px)
Citation preview
Toute l’équipe Microsoft vous souhaite une excellente année 2011
Bulletins de Sécurité MicrosoftJanvier 2011
Jean Gautier, Ramin BarretoCSS Security EMEA
Bruno Sorcelle, Valéry KremerTechnical Account Manager
Bienvenue !
Présentation des bulletins de Janvier 20112 Nouveaux bulletins de Sécurité
1 Critique1 Important
1 avis de sécurité (révision)Mises à jour non relatives à la sécurité
Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations
Ressources
Questions - Réponses : Envoyez dès maintenant !
Questions - Réponses
À tout moment pendant la présentation, posez vos
questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :
2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :
Bulletins de Sécurité de Janvier 2011
Bulletin N°Article Indice de gravité
maximal
Composants Logiciels Affectés
MS11-001 2478935 Important Gestionnaire de sauvegarde Windows Microsoft Windows
MS11-002 2451910 Critique Microsoft Data Access Components (MDAC) Microsoft Windows
MS11-001 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS11-001
Une vulnérabilité dans le gestionnaire de sauvegarde de Windows pourrait permettre l'exécution de code à distance (2478935)
Important• Windows Vista (Toutes les versions
supportées)
MS11-001 : Une vulnérabilité dans le gestionnaire de sauvegarde de Windows pourrait permettre l'exécution de code à distance (2478935) - Important
Vulnérabilité • Vulnérabilités d'exécution de code à distance
Vecteurs d'attaque possibles
• un fichier .wbcat légitime situé dans le même répertoire qu'un fichier de bibliothèque de liens dynamiques (DLL) spécialement conçu.
• Un fichier DLL malveillant spécialement conçu
Impact • Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
• L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges..
Facteurs atténuants • Pour exploiter cette vulnérabilité, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier .wbcat (fichier du catalogue de Sauvegarde Windows).
• Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité.
Contournement • Désactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants• Désactiver le service WebClient • Bloquer les ports TCP 139 et 445 au niveau du pare-feu
Informations complémentaires
• Cette vulnérabilité a été signalée publiquement avant la publication de ce bulletin (voir l’avis de sécurité 2269637)
• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS11-002 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS11-002
Des vulnérabilités dans Microsoft Data Access Components (MDAC) pourraient permettre l'exécution de code à distance (2451910)
Critique
• MDAC 2.8 SP 1 sur Windows XP (Toutes les versions supportées)
• MDAC 2.8 SP 2 sur Windows Server 2003 (Toutes les versions supportées)
• WDAC 6.0 sur Windows Vista (Toutes les versions supportées)
• WDAC 6.0 sur Windows Server 2008 (Toutes les versions supportées)
• WDAC 6.0 sur Windows 7 (Toutes les versions supportées)
• WDAC 6.0 sur Windows Server 2008 R2 (Toutes les versions supportées)
MS11-002 : Des vulnérabilités dans Microsoft Data Access Components (MDAC) pourraient permettre l'exécution de code à distance (2451910) - CritiqueVulnérabilité • Vulnérabilités d'exécution de code à distance
Vecteurs d'attaque possibles
• Une page Web spécialement conçue • Un message électronique HTML spécialement conçu
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté
• Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Facteurs atténuants • L'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité et convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. • Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et de
Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX.
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée.
• La CVE-2011-0026 ne peut pas être exploitée dans la configuration de Windows par défaut. Pour que le système soit exposé à cette vulnérabilité, une application tierce utilisant des API Open Database Connectivity (ODBC) spécifiques d'une manière vulnérable doit être installée.
Contournement • Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones
• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.
• Désactivez le fichier DLL ActiveX Data Objects (ADO)• Microsoft n'a identifié aucune solution de contournement pour la CVE-2011-0026.
Informations complémentaires
• Les vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation pour ces
vulnérabilités .
Bulletin Windows Update
Microsoft Update
MBSA 2.1 WSUS 3.0 SMS avec Feature Pack
SUS
SMS avec Outil d'inventaire des
mises à jour
SCCM 2007
MS11-001 Oui Oui Oui Oui Non1 Oui Oui
MS11-002 Oui Oui Oui Oui Oui1 Oui Oui
1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11 , toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia64
Détection et déploiement
Informations de mise à jour
Bulletin Redémarrage requis Désinstallation Remplace
MS11-001 Possible Oui Aucun
MS11-002 Possible Oui Aucun
Avis de sécurité Microsoft 2488013 (Révision) – Une vulnérabilité dans Internet Explorer pourrait permettre l'exécution de code à distance.Logiciels Affectés
• Internet Explorer 6.0 sur Windows XP et sur Windows Server 2003• Internet Explorer 7 sur Windows XP, Windows Server 2003, Windows Vista et sur Windows Server
2008• Internet Explorer 8 sur Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008,
Windows 7, et sur Windows Server 2008 R2
Résumé
Microsoft étudie de nouveaux rapports publics faisant état d'attaques limitées visant à exploiter une vulnérabilité dans toutes les les versions en cours de support d'Internet Explorer. L'impact principal de cette vulnérabilité est une exécution de code à distance. Cet Avis contient des solutions de contournement et des facteurs atténuants concernant ce problème.
La vulnérabilité existe en raison de la création de mémoire non initialisée pendant l'exécution d'une fonction CSS dans Internet Explorer. Dans certaines conditions, il peut arriver que la mémoire soit utilisée par un attaquant qui utilise une page Web spécialement conçue pour pouvoir exécuter du code à distance.
Raisons de la révision• Ajout d’une solution de contournement : Empêcher le chargement récursif de feuilles de style de
CSS dans Internet Explorer• Mise à jour de la synthèse pour refléter l'analyse concernant des attaques limitées.
Informations complémentaires• Nouveau package Fix-it contenant un shim IE• Nécessite MS10-090• Des éléments complémentaires sont disponibles sur le blog SRD : http://blogs.technet.com/srd
Janvier 2011 - Mises à jour non relatives à la sécurité
Article Title Distribution
KB905866 Update for Windows Mail Junk E-mail Filter Catalog, AU, WSUS
KB890830 Windows Malicious Soft ware Removal Tool Catalog, AU, WSUS
Windows Malicious Software Removal Tool
Ajoute la possibilité de supprimer :
Win32/Lethic A prevalent backdoor trojan that allows remote access and
control of an aff ected machine
Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0
Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove
Lifecycle Support Information
Après le 11 janvier 2011 les produits ou Service Pack suivants ne sont plus supportés : • Exchange Server 2000 • SQL Server 7.0 • SCCM 2007 SP1 • SCCM 2007 R2
Après le 12 avril 2011 les produits ou Service Pack suivants ne sont plus supportés : • ISA Server 2000 • MOM 2000 • SMS 2.0• .Net Framework 3.0• .Net Framework 3.5 RTM
Pour rappel…
RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms11-jan.mspx
Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin
Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx
Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory
Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx
Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
Microsoft France sécurité http://www.microsoft.com/france/securite
TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNonLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNonLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNonLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NonUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NonTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NonTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENonMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NonUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NonUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NonUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NonUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES.
