Bulletins de sécurité MicrosoftJanvier 2009

Jean GautierCSS Security EMEA IR Team

Jérôme LeseinneCSS Security EMEA IR Team

Mathieu MalaiseDirection technique et sécurité

Bienvenue !

Présentation des bulletins de janvierUn nouveau Bulletin de sécuritéMise à jour non relatives à la sécurité

Informations connexes :Win32/ConfickerMicrosoft® Windows® Malicious Software* Removal Tool

Ressources

* Malicious software (logiciel malveillant)

Questions - Réponses

À tout moment pendant la présentation, posez vos

questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :

2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Bulletins de sécurité - Janvier 2009Présentation

Nouveau Bulletin de sécurité :Critique : 1

Indices de gravité cumulée et Indices d'exploitabilité

BulletinIndice de gravité maximal

Indice d'exploitabilité maximum

MS09-001 Critique 3 - Faible possibilité de code d’exploitation

fonctionnel

* Tri par indice de gravité et indice d'exploitabilité* Indice de gravité dans chaque Bulletin* Indice d'exploitabilité dans la Synthèse

MS09-001 : Introduction

Numéro Titre

Indice de

gravité maxim

al

Produits affectés

MS09-001

Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance (958687)

CritiqueToutes versions de Windows et de Windows Server (incl. Server Core) en cours de support

MS09-001 : Indices de gravité

NuméroWindows

2000 SP4

Windows XP SP2 et SP3, Windows XP

Édition x64 et Édition x64

SP2, Windows Server 2003 SP1 et SP2

Windows Server 2003 x64 et x64

SP2, Windows Server 2003 SP1 et SP2 Windows

Server 2003 pour les

systèmes Itanium et pour les

systèmes Itanium SP2

Windows Vista et

Windows Vista SP1, Windows

Vista Édition x64 et

Édition x64 SP1

Windows Server 2008 pour

systèmes 32 bits, Windows Server 2008

pour systèmes x64 et Windows

Server 2008 pour systèmes

Itanium

MS09-001

Critique Critique Critique Modéré Modéré

*Installation Server Core de Windows Server 2008 concernée.

MS09-001 : Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance (958687)- Critique

Vulnérabilité • Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le protocole Microsoft Server Message Block (SMB) qui pourraient permettre l'exécution de code à distance et/ou un déni de service.

Vecteurs d'attaque possibles

• Un attaquant pourrait exploiter cette vulnérabilité en envoyant un message réseau spécialement conçu à un ordinateur exécutant le service Serveur.

Impact • Le code malveillant pourrait s'exécuter dans le contexte Système. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants

• Bonnes pratiques en matière de pare-feu• Dans Windows Vista et Windows Server 2008, le partage de fichiers est

désactivé par défaut.

Bulletin Windows Update

Microsoft Update

MBSA 2.1

WSUS 2.0 /

WSUS 3.0

SMS avec

Feature Pack SUS

SMS avec Outil

d'inventaire des

mises à jour

SCCM 2007

MS09-001 Oui Oui Oui Oui Oui 1 Oui Oui1. SMS avec Feature Pack SUS et SMS 2.0 prennent uniquement en charge Windows 2000 SP4, Windows Server 2003 SP1 et SP2, Windows XP SP1 et SP2 pour cette publication.

Détection et déploiement

BulletinRedémarrage requis

HotPatching

Désinstallation Remplace

MS09-001 Oui Non applicable

Oui MS08-063

Article de la Base de connaissan

ces

Titre Distribution

KB905866Mise à jour du filtre de courrier indésirable Windows Mail

Catalogue, AutoUpdates, WSUS

KB890830 Windows Malicious Software Removal ToolCatalogue, AutoUpdates, WSUS

Janvier 2009 - Mises à jour non relatives à la sécurité

Win32/Conficker

Symptômes • Plusieurs comptes Administrateurs et/ou Utilisateurs sont verrouillés• Plusieurs services importants sont arrêtés et désactivés (AU, BITS…)• Accès impossible à Microsoft Update et à certains sites Web d'éditeurs antivirus• Problèmes liés à Svchost

Vecteurs d'attaque possibles

• Vulnérabilité liée à MS08-067• Partages de fichiers ouverts• Ressources réseau accessibles à l’utilisateur connecté• Ressources réseau protégées par des mots de passe faibles• Périphériques amovibles ou lecteurs réseaux (autorun)

Prévention • Maintenir les systèmes à jour• Activer un pare-feu local sur les machines• Utiliser des mots de passe complexes• Faire preuve de prudence lors de la réception de messages, fichiers ou en

naviguant sur Internet.

Plus d’informations sur le Microsoft Malware Protection Portal (en anglais) :http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

Win32/Conficker

Avant toute chose, supprimer les vecteurs de propagation (cf. écran précédent) !

SuppressionAntivirus à jour (si efficace pour Win32/Conficker)Par déploiement de l’Outil de suppression des logiciels malveillants (MSRT)http://www.microsoft.com/france/securite/malwareremove

Win32/Conficker désactive l’agent des Mises à jour automatiques : suivre KB891716 http://support.microsoft.com/kb/891716

Procédure manuelleen ligne sur http://blogs.technet.com/mathieum

Windows Malicious Software Removal Tool

Ajoute la possibilité de supprimer :Win32/BanloadWin32/ConfickerDisponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update :Disponible par WSUS 2.0 et WSUS 3.0

Disponible en téléchargement à l'adresse suivante : www.microsoft.com/france/securite/malwareremove

Consultez les dernières informations sur le contexte des menaces dans le Rapport sur les données de sécurité : www.microsoft.com/france/sir

RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-jan.mspx

Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinWebcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.