Bulletins de Sécurité Microsoft Mars 2012
description
Transcript of Bulletins de Sécurité Microsoft Mars 2012
Bulletins de Sécurité MicrosoftMars 2012
Ramin Barreto – Patrick Chuzel – Philippe VialleCSS Security EMEA
Bruno Sorcelle – Ahmed NeggazTechnical Account Manager
Bienvenue !Présentation des bulletins de Mars 2012
6 Nouveaux bulletins de Sécurité1 Critique4 Importants1 Modéré
1 nouvel Avis de SécuritéMises à jour Non relatives à la sécurité
Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations
RessourcesQuestions - Réponses : Envoyez dès maintenant !
* Malicious software (logiciel malveillant)
Questions - RéponsesÀ tout moment pendant la
présentation, posez vos questions :1. Ouvrez l’interface et cliquez dans sur l’espace
messagerie instantanée2. Précisez le numéro du Bulletin, entrez votre
question
Bulletin N°Article LogicielAffecté
ComposantAffecté
Indice de gravité
Priorité de déploieme
nt
Max. Exploit Index Rating
Révélépublique
ment
MS12-017
2647170 Windows DNS Server Important 3 3 Non
MS12-018
2641653 Windows Kernel-Mode Drivers Important 3 2 Non
MS12-019
2665364 Windows DirectWrite Modéré 3 * Oui
MS12-020
2671387 Windows RDP Critique 1 1 Non
MS12-021
2651019 Visual Studio Visual Studio Important 2 1 Non
MS12-022
2651018 Expression Expression Design Important 2 1 Non
Bulletins de Sécurité de Mars 2012
Index d’exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné
MS12-017 : Introduction et indices de gravitéNuméro Titre Indice de gravité
maximal Produits affectés
MS12-017
Une vulnérabilité dans le serveur DNS pourrait permettre un déni de service (2647170)
Important
• Windows Server 2003 (Toutes les versions supportées)
• Windows Server 2008 x86 et x64 SP2• Windows Server 2008 R2 x64 (Toutes les
versions supportées)
MS12-017 : Une vulnérabilité dans le serveur DNS pourrait permettre un déni de service (2647170) - Important
Vulnérabilité • Vulnérabilité de déni de service • CVE-2012-0006
Vecteurs d'attaque possibles
• Une requête DNS spécialement conçue vers le serveur DNS cible
Impact • Un attaquant distant non authentifié qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système cible de répondre et pourrait le forcer à redémarrer automatiquement
Facteurs atténuants • Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.
Contournement • Effacer régulièrement le cache DNS via une tâche planifiée
Informations complémentaires
• Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation
MS12-018 : Introduction et indices de gravitéNuméro Titre Indice de gravité
maximal Produits affectés
MS12-018
Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre une élévation de privilèges (2641653)
Important
• Windows XP (Toutes les versions supportées)
• Windows Server 2003 (Toutes les versions supportées)
• Windows Vista (Toutes les versions supportées)
• Windows Server 2008 (Toutes les versions supportées)
• Windows 7 (Toutes les versions supportées)• Windows Server 2008 R2 (Toutes les
versions supportées)
MS12-018 : Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre une élévation de privilèges (2641653) - Important
Vulnérabilité • Vulnérabilité d’élévation de privilèges • CVE-2012-0157
Vecteurs d'attaque possibles
• Une application spécialement conçue
Impact • Un attaquant qui parviendrait à ouvrir une session localement sur le système pour exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau et prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de droits administratifs complets.
Facteurs atténuants • Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local.
Contournement • Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités.
Informations complémentaires
• Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS12-019 : Introduction et indices de gravitéNuméro Titre Indice de gravité
maximal Produits affectés
MS12-019
Une vulnérabilité dans DirectWrite pourrait permettre un déni de service (2665364)
Modéré
• Windows Vista (Toutes les versions supportées)
• Windows Server 2008 x86 et x64 SP2• Windows 7 (Toutes les versions supportées)• Windows Server 2008 R2 (Toutes les versions
supportées)
MS12-019 : Une vulnérabilité dans DirectWrite pourrait permettre un déni de service (2665364) - Modéré
Vulnérabilité • Vulnérabilité de déni de service • CVE-2012-0156
Vecteurs d'attaque possibles
• Une page Web contenant une séquence de caractères Unicode spécialement conçue • Une séquence de caractères Unicode spécialement conçue via un client de messagerie instantané
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait empêcher une application cible, telle que Windows Live Messenger, de répondre.
Facteurs atténuants • Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.
Contournement • Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.
Informations complémentaires
• Cette vulnérabilité a été révélée publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS12-020 : Introduction et indices de gravitéNuméro Titre Indice de gravité
maximal Produits affectés
MS12-020
Des vulnérabilités dans le Bureau à distance pourraient permettent l'exécution de code à distance (2671387)
Critique
• Windows XP (Toutes les versions supportées)• Windows Server 2003 (Toutes les versions
supportées)• Windows Vista (Toutes les versions
supportées)• Windows Server 2008 (Toutes les versions
supportées)• Windows 7 (Toutes les versions supportées)• Windows Server 2008 R2 (Toutes les
versions supportées)
MS12-020 : Des vulnérabilités dans le Bureau à distance pourraient permettent l'exécution de code à distance (2671387) - Critique
Vulnérabilité • Vulnérabilité d'exécution de code à distance • Vulnérabilité de déni de service
• CVE-2012-0002• CVE-2012-0152
Vecteurs d'attaque possibles
• Une séquence de paquets RDP spécialement conçus vers le système cible.
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Facteurs atténuants • Par défaut, le protocole Bureau à distance n'est activé sur aucun système d'exploitation Windows. Les systèmes sur lesquels RDP n'est pas activé ne sont pas concernés. Notez que sur Windows XP et Windows Server 2003, le composant Assistance à distance peut activer RDP.
• Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise.
• Pour les systèmes qui exécutent des éditions en cours de support de Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 sur lesquels l'authentification au niveau du réseau est activée, un attaquant devrait d'abord s'authentifier auprès des Services Bureau à distance à l'aide d'un compte valide sur le système cible.
Contournement • Désactiver les fonctionnalités Terminal Services, Bureau à distance, Assistance à distance et Poste de travail Web à distance de Windows Small Business Server 2003 si elles ne sont plus nécessaires
• Bloquer le port TCP 3389 au niveau du pare-feu de périmètre de l'entreprise• Activer l'authentification au niveau du réseau sur les systèmes qui exécutent des éditions en cours
de support de Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2• Pour la CVE-2012-0152 : Microsoft n'a identifié aucune solution de contournement pour cette
vulnérabilité.
Informations complémentaires
• Ces vulnérabilités n’ont pas été révélées publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS12-021 : Introduction et indices de gravitéNuméro Titre Indice de gravité
maximal Produits affectés
MS12-021
Une vulnérabilité dans Visual Studio pourrait permettre une élévation de privilèges (2651019)
Important• Microsoft Visual Studio 2008 Service Pack 1• Microsoft Visual Studio 2010• Microsoft Visual Studio 2010 Service Pack 1
MS12-021 : Une vulnérabilité dans Visual Studio pourrait permettre une élévation de privilèges (2651019) - Important
Vulnérabilité • Vulnérabilité d'élévation de privilèges • CVE-2012-0008
Vecteurs d'attaque possibles
• Un complément spécialement conçu dans le chemin utilisé par Visual Studio. Lorsque Visual Studio serait démarré par un administrateur, le complément spécialement conçu serait chargé avec des privilèges d'administrateur.
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges élevés. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Facteurs atténuants • Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes
Contournement • Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.
Informations complémentaires
• Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS12-022 : Introduction et indices de gravitéNuméro Titre Indice de gravité
maximal Produits affectés
MS12-022
Une vulnérabilité dans Expression Design pourrait permettre l'exécution de code à distance (2651018)
Important
• Microsoft Expression Design• Microsoft Expression Design Service
Pack 1• Microsoft Expression Design 2• Microsoft Expression Design 3• Microsoft Expression Design 4
MS12-022 : Une vulnérabilité dans Expression Design pourrait permettre l'exécution de code à distance (2651018) - Important
Vulnérabilité • Vulnérabilité d’exécution de code à distance • CVE-2012-0016
Vecteurs d'attaque possibles
• Un fichier Expression Design (par exemple .xpr ou .DESIGN) légitime situé dans le même répertoire réseau qu'un fichier de bibliothèque de liens dynamiques (DLL) spécialement conçu.
Impact • Un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Facteurs atténuants • Pour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier légitime (tel qu'un fichier .xpr ou .DESIGN) à partir de cet emplacement, celui-ci étant ensuite chargé par une application vulnérable.
• Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare-feu de périmètre.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Contournement • Désactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants• Désactiver le service WebClient • Bloquer les ports TCP 139 et 445 au niveau du pare-feu
Informations complémentaires
• Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
Avis de Sécurité 2647518Avis de Sécurité 2647518: Ensemble de mises à jour pour les kill bits ActiveX
Logiciels concernés : • Windows XP (Toutes les versions supportées)• Windows Server 2003 (Toutes les versions supportées)• Windows Vista (Toutes les versions supportées)• Windows Server 2008 (Toutes les versions supportées)• Windows 7 (Toutes les versions supportées)• Windows Server 2008 R2 (Toutes les versions supportées)
Résumé : Cette mise à jour définit les kill bits pour les logiciels tiers suivants :• Biostat SamplePower. L'identificateur de classe suivant est lié à une demande émise par IBM
visant à définir un kill bit pour un contrôle ActiveX vulnérable. Pour toute question ou inquiétude concernant le contrôle ActiveX Biostat SamplePower, veuillez contacter IBM. Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section « Kill bits tiers » de cet Avis.
• Blueberry Software Flashback Component. L'identificateur de classe suivant est lié à une demande émise par IBM afin de définir le kill bit pour un contrôle ActiveX vulnérable. Pour toute question ou inquiétude concernant le contrôle ActiveX Blueberry Software Flashback Component, veuillez contacter IBM. Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section « Kill bits tiers » de cet Avis.
• HP Photo Creative. L'identificateur de classe suivant est lié à une demande émise par RocketLife afin de définir un kill bit pour un contrôle ActiveX vulnérable. Pour toute question ou inquiétude concernant le contrôle ActiveX HP Photo Creative, veuillez contacter RocketLife. Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section « Kill bits tiers » de cet Avis.
Bulletin ID Windows Update Microsoft Update MBSA WSUS SMS ITMU SCCM 2007
MS12-017 Oui Oui Oui Oui Oui Oui
MS12-018 Oui Oui Oui Oui Oui Oui
MS12-019 Oui Oui Oui Oui Oui Oui
MS12-020 Oui Oui Oui Oui Oui Oui
MS12-021 Non Oui Oui Oui Oui Oui
MS12-022 Non Oui Oui Oui Oui Oui
Détection et déploiement
Informations de mise à jourBulletin Redémarrage requis Désinstallation Remplace
MS12-017 Oui Oui MS11-058
MS12-018 Oui Oui MS12-008
MS12-019 Possible Oui Aucun
MS12-020 Oui Oui MS11-065
MS12-021 Possible Oui Aucun
MS12-022 Possible Oui Aucun
Mars 2012 - Mises à jour Non relatives à la sécurité
Article Title DistributionKB905866 Update for Windows Mail Junk E-mail Filter
The March 2012 release of the Windows Mail Junk E-mail FilterCatalog, AU, WSUS
KB890830 Windows Malicious Software Removal ToolThe March 2012 release of the Windows Malicious Software Removal Tool
Catalog, AU, WSUS
KB2608658 Update for Windows Server 2008 R2 Catalog, AU, WSUS
KB2639308 Update for Windows 7 and Windows Server 2008 R2 Catalog, AU, WSUS
KB2647518 Update Rollup for ActiveX Killbits for Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista, Windows Server 2003, and Windows XP
Catalog, AU, WSUS
Info: KB894199 Description of Software Update Services and Windows Server Update Services changes in content for 2012http://support.microsoft.com/kb/894199
Windows Malicious Software Removal ToolAjoute la possibilité de supprimer :
Win32/DorkbotWin32/Yeltminky
Self-propagating worms that spreads via removable drives, instant messaging programs, and social networks
Win32/HiolesWin32/Pluzoks.A
Trojans that silently downloads and installs other programs without consent
Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0
Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove
Lifecycle Support Information
Après le 10 avril 2012 les produits ou Service Pack suivants ne sont plus supportés :
Dynamics Point of Sales 2.0 Dynamics SL 7.0 Service Pack 2 System Center Virtual Machine Manager 2008 R2 RTM
Après le 10 juillet 2012 les produits ou Service Pack suivants ne sont plus supportés : • SQL Server 2008 R2 RTM• Application Virtualization 4.6 RTM• Office 2010, SharePoint Server 2010, Visio 2010, Project 2010 RTM
Pour rappel…
RessourcesSynthèse des Bulletins de sécuritéhttp://technet.microsoft.com/fr-fr/security/bulletin/ms12-mar
Bulletins de sécuritéhttp://technet.microsoft.com/fr-fr/security/bulletin
Webcast des Bulletins de sécuritéhttp://technet.microsoft.com/fr-fr/security/
Avis de sécuritéhttp://technet.microsoft.com/fr-fr/security/advisory
Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx
Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
Microsoft France sécurité http://www.microsoft.com/france/securite
TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET Technologies ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.
Merci