Embed Size (px)
Citation preview
Bulletins de sécurité MicrosoftMars 2009
Jean GautierCSS Security EMEA IR Team
Jérôme LeseinneCSS Security EMEA IR Team
Mathieu MalaiseDirection technique et sécurité
Bienvenue !
Présentation des bulletins de mars3 nouveaux Bulletins de sécuritéMise à jour non relatives à la sécurité
Informations connexes :Microsoft® Windows® Malicious Software* Removal Tool
Ressources
Questions - Réponses
* Malicious software (logiciel malveillant)
Bulletins de Sécurité - mars 2009Résumé
Nouveaux Bulletins de sécurité :Critique : 1Important : 2
Questions - Réponses
À tout moment pendant la présentation, posez vos
questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :
2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :
Indices de gravité cumulée et Indices d'exploitabilité
BulletinIndice de gravité
maximalIndice d'exploitabilité
maximum
MS09-006 CritiqueMoyen - Possibilité de code d’exploitation peu fonctionnel
MS09-008 ImportantÉlevé - Possibilité de code d’exploitation fonctionnel
MS09-007 ImportantMoyen - Possibilité de code d’exploitation peu fonctionnel
* Tri par indice de gravité et indice d'exploitabilité* Indice de gravité dans chaque Bulletin* Indice d'exploitabilité dans la Synthèse
MS09-006 : Introduction et indices de gravité
Numéro
Titre Indice de gravité
maximalProduits affectés
MS09-006
Des vulnérabilités dans le noyau Windows pourraient permettre l'exécution de code à distance (958690)
CritiqueToutes versions de Windows en cours de support*
*Installation Server Core de Windows Server 2008 concernée
MS09-006 : Des vulnérabilités dans le noyau Windows pourraient permettre l'exécution de code à distance (958690) - Critique
Vulnérabilité • 1 vulnérabilité d'exécution de code à distance et 2 vulnérabilités d'élévation de privilèges
Vecteurs d'attaque possibles
• L'exploitation de la vulnérabilité d'exécution à distance nécessiterait qu'un utilisateur ouvre ou affiche un fichier image spécialement conçu. L'exploitation des vulnérabilités d'élévation de privilèges nécessiterait que l'utilisateur ait ouvert une session.
Impact • Exécution de code dans le contexte Système
Facteurs atténuants
• Exécution de code à distance : Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter un site Web malveillant.
• Élévation de privilèges : Pour exploiter cette vulnérabilité, un attaquant doit disposer d'informations d'identification valides et doit être en mesure d'ouvrir une session en local sur un système vulnérable.
Informations complémentaires
• Le traitement des métafichiers peut être désactivé en modifiant le Registre
MS09-007 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS09-007
Une vulnérabilité dans SChannel pourrait permettre une usurpation de contenu (960225)
ImportantToutes versions de Windows en cours de support*
*Installation Server Core de Windows Server 2008 concernée.*Installation Server Core de Windows Server 2008 concernée.
MS09-007 : Une vulnérabilité dans SChannel pourrait permettre une usurpation de contenu (960225) - Important
Vulnérabilité • Il existe une vulnérabilité d'usurpation de contenu dans le composant d'authentification de SChannel lors de l'utilisation de l'authentification basée sur des certificats.
Vecteurs d'attaque possibles
• Un attaquant parvenant à accéder au composant public du certificat utilisé par l'utilisateur final pour l'authentification.
Impact • Un attaquant pourrait exploiter cette vulnérabilité afin de s'authentifier sur un serveur protégé et imiter un utilisateur autorisé.
Facteurs atténuants
• Nos clients ne sont concernés que lorsque le certificat a été déjà révélé à l'attaquant par d'autres moyens.
• Dans le cas d'un serveur Web IIS, les certificats ne sont pas transférés en texte clair lors du processus d'authentification.
• Seuls les comptes utilisateur configurés localement sont vulnérables. Nos clients qui mappent les utilisateurs authentifiés par certificat à un domaine Active Directory ne sont pas concernés par cette vulnérabilité.
MS09-008 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS09-008
Des vulnérabilités dans les serveurs DNS et WINS pourraient permettre une usurpation de contenu (962238)
Important
Serveur DNS sur toutes les versions de Windows Server en cours de support*
Serveur WINS sur toutes les éditions de Windows Server (excepté Windows Server 2008) en cours de support*Installation Server Core de Windows Server 2008 concernée
MS09-008 : Des vulnérabilités dans les serveurs DNS et WINS pourraient permettre une usurpation de contenu (962238) - Important
Vulnérabilité • 2 vulnérabilités signalées confidentiellement et 2 vulnérabilités révélées publiquement dans le serveur Windows DNS et le serveur Windows WINS.
Vecteurs d'attaque possibles
• L'attaquant envoie plusieurs requêtes spécialement conçues au serveur DNS afin d'empoisonner le cache.
• L'attaquant enregistre « WPAD » dans la base de données DNS ou WINS.
Impact • L'attaquant pourrait intercepter et/ou rediriger le trafic Internet.
Facteurs atténuants
• Si des entrées WPAD et ISATAP sont déjà enregistrées sur le serveur DNS, l'attaquant ne pourra pas en enregistrer lui aussi.
• Si des entrées WPAD et ISATAP sont déjà enregistrées dans le serveur WINS, l'attaquant ne pourra pas en enregistrer lui aussi.
Informations complémentaires
• WPAD : Les clients doivent installer le package de mise à jour de sécurité 961063 pour chaque serveur DNS et le package de mise à jour de sécurité 961064 pour chaque serveur WINS dans leur environnement.
Détection et déploiement
Bulletin Windows
Update
Microsoft
Update
MBSA 2.1
WSUS 2.0 /
WSUS 3.0
SMS avec Feature
Pack SUS
SMS avec Outil
d'inventaire des mises à
jour
SCCM 2007
MS09-006 Oui Oui Oui Oui Non1 Oui Oui
MS09-007 Oui Oui Oui Oui Non1 Oui Oui
MS09-008 Oui Oui Oui Oui Non2 Oui Oui
1. SMS SUSFP prend uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3 et Windows Server 2003 SP1 et SP2 pour cette mise à jour.
2. SMS SUSFP prend uniquement en charge Windows 2000 SP4 et Windows Server 2003 SP1 et SP2 pour cette mise à jour.
Informations de mise à jour (suite)
BulletinRedémarrage requis
HotPatching
Désinstallation Remplace
MS09-006 OuiNon
applicableOui MS08-061
MS09-007 OuiNon
applicableOui MS07-031
MS09-008 OuiNon
applicableOui
MS08-037MS08-034MS08-066
Mars 2009 - Mises à jour non relatives à la sécurité
Windows Malicious Software Removal Tool
Ajoute la possibilité de supprimer :Win32/KoobfaceDisponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 2.0 et WSUS 3.0
Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove
Consultez les dernières informations sur l'évolution des menaces grâce au Rapport Microsoft sur les données de sécurité : microsoft.com/france/sir
Ressources concernant Conficker
Nouvelles pages rassemblant les informations concernant Conficker
Conseils pour les professionnels de l'informatique
http://technet.microsoft.com/security/dd452420
Conseils pour le grand publichttp://microsoft.com/france/protect/computer/viruses/worms/conficker.mspx
RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-mar.mspx
Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinWebcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx
Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory
Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx
Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.
