Upload
aristide-roth
View
116
Download
0
Embed Size (px)
Citation preview
Bulletins de sécurité MicrosoftJanvier 2009
Jean GautierCSS Security EMEA IR Team
Jérôme LeseinneCSS Security EMEA IR Team
Mathieu MalaiseDirection technique et sécurité
Bienvenue !
Présentation des bulletins de janvierUn nouveau Bulletin de sécuritéMise à jour non relatives à la sécurité
Informations connexes :Win32/ConfickerMicrosoft® Windows® Malicious Software* Removal Tool
Ressources
* Malicious software (logiciel malveillant)
Questions - Réponses
À tout moment pendant la présentation, posez vos
questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :
2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :
Bulletins de sécurité - Janvier 2009Présentation
Nouveau Bulletin de sécurité :Critique : 1
Indices de gravité cumulée et Indices d'exploitabilité
BulletinIndice de gravité maximal
Indice d'exploitabilité maximum
MS09-001 Critique 3 - Faible possibilité de code d’exploitation
fonctionnel
* Tri par indice de gravité et indice d'exploitabilité* Indice de gravité dans chaque Bulletin* Indice d'exploitabilité dans la Synthèse
MS09-001 : Introduction
Numéro Titre
Indice de
gravité maxim
al
Produits affectés
MS09-001
Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance (958687)
CritiqueToutes versions de Windows et de Windows Server (incl. Server Core) en cours de support
MS09-001 : Indices de gravité
NuméroWindows
2000 SP4
Windows XP SP2 et SP3, Windows XP
Édition x64 et Édition x64
SP2, Windows Server 2003 SP1 et SP2
Windows Server 2003 x64 et x64
SP2, Windows Server 2003 SP1 et SP2 Windows
Server 2003 pour les
systèmes Itanium et pour les
systèmes Itanium SP2
Windows Vista et
Windows Vista SP1, Windows
Vista Édition x64 et
Édition x64 SP1
Windows Server 2008 pour
systèmes 32 bits, Windows Server 2008
pour systèmes x64 et Windows
Server 2008 pour systèmes
Itanium
MS09-001
Critique Critique Critique Modéré Modéré
*Installation Server Core de Windows Server 2008 concernée.
MS09-001 : Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance (958687)- Critique
Vulnérabilité • Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le protocole Microsoft Server Message Block (SMB) qui pourraient permettre l'exécution de code à distance et/ou un déni de service.
Vecteurs d'attaque possibles
• Un attaquant pourrait exploiter cette vulnérabilité en envoyant un message réseau spécialement conçu à un ordinateur exécutant le service Serveur.
Impact • Le code malveillant pourrait s'exécuter dans le contexte Système. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
Facteurs atténuants
• Bonnes pratiques en matière de pare-feu• Dans Windows Vista et Windows Server 2008, le partage de fichiers est
désactivé par défaut.
Bulletin Windows Update
Microsoft Update
MBSA 2.1
WSUS 2.0 /
WSUS 3.0
SMS avec
Feature Pack SUS
SMS avec Outil
d'inventaire des
mises à jour
SCCM 2007
MS09-001 Oui Oui Oui Oui Oui 1 Oui Oui1. SMS avec Feature Pack SUS et SMS 2.0 prennent uniquement en charge Windows 2000 SP4, Windows Server 2003 SP1 et SP2, Windows XP SP1 et SP2 pour cette publication.
Détection et déploiement
BulletinRedémarrage requis
HotPatching
Désinstallation Remplace
MS09-001 Oui Non applicable
Oui MS08-063
Article de la Base de connaissan
ces
Titre Distribution
KB905866Mise à jour du filtre de courrier indésirable Windows Mail
Catalogue, AutoUpdates, WSUS
KB890830 Windows Malicious Software Removal ToolCatalogue, AutoUpdates, WSUS
Janvier 2009 - Mises à jour non relatives à la sécurité
Win32/Conficker
Symptômes • Plusieurs comptes Administrateurs et/ou Utilisateurs sont verrouillés• Plusieurs services importants sont arrêtés et désactivés (AU, BITS…)• Accès impossible à Microsoft Update et à certains sites Web d'éditeurs antivirus• Problèmes liés à Svchost
Vecteurs d'attaque possibles
• Vulnérabilité liée à MS08-067• Partages de fichiers ouverts• Ressources réseau accessibles à l’utilisateur connecté• Ressources réseau protégées par des mots de passe faibles• Périphériques amovibles ou lecteurs réseaux (autorun)
Prévention • Maintenir les systèmes à jour• Activer un pare-feu local sur les machines• Utiliser des mots de passe complexes• Faire preuve de prudence lors de la réception de messages, fichiers ou en
naviguant sur Internet.
Plus d’informations sur le Microsoft Malware Protection Portal (en anglais) :http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B
Win32/Conficker
Avant toute chose, supprimer les vecteurs de propagation (cf. écran précédent) !
SuppressionAntivirus à jour (si efficace pour Win32/Conficker)Par déploiement de l’Outil de suppression des logiciels malveillants (MSRT)http://www.microsoft.com/france/securite/malwareremove
Win32/Conficker désactive l’agent des Mises à jour automatiques : suivre KB891716 http://support.microsoft.com/kb/891716
Procédure manuelleen ligne sur http://blogs.technet.com/mathieum
Windows Malicious Software Removal Tool
Ajoute la possibilité de supprimer :Win32/BanloadWin32/ConfickerDisponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update :Disponible par WSUS 2.0 et WSUS 3.0
Disponible en téléchargement à l'adresse suivante : www.microsoft.com/france/securite/malwareremove
Consultez les dernières informations sur le contexte des menaces dans le Rapport sur les données de sécurité : www.microsoft.com/france/sir
RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-jan.mspx
Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinWebcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx
Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory
Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx
Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.