Bulletins de sécurité Microsoft Novembre 2008 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise Direction.

Présentation au sujet: "Bulletins de sécurité Microsoft Novembre 2008 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise Direction."— Transcription de la présentation:

1 Bulletins de sécurité Microsoft Novembre 2008 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise Direction technique et sécurité Bruno Sorcelle Premier Services

2 Bienvenue ! Présentation des Bulletins de novembre Nouveaux Bulletins de sécurité Mise à jour non relatives à la sécurité Informations connexes : Microsoft ® Windows ® Malicious Software* Removal Tool Rapport Microsoft sur les données de sécurité volume 5 Ressources * Malicious software (logiciel malveillant)

3 Bulletins de sécurité - novembre 2008 Résumé Nouveaux Bulletins de sécurité : Critique : 1 Important : 1

4 Questions - Réponses Vous pouvez poser vos questions à tout moment en indiquant le numéro du Bulletin concerné et en utilisant le bouton Poser une question

5 Indices de gravité cumulée et Indices d'exploitabilité Bulletin Indice de gravité maximal Indice d'exploitabilité maximum MS08-069 Critique 1 - Possibilité de code dexploitation fonctionnel MS08-068 Important 1 - Possibilité de code dexploitation fonctionnel * Tri par indice de gravité et indice d'exploitabilité * Indice de gravité dans chaque Bulletin * Indice d'exploitabilité dans la Synthèse

6 MS08-068 : Introduction NuméroTitre Indice de gravité maximal Produits affectés MS08-068 Une vulnérabilité dans SMB pourrait permettre lexécution de code à distance (957097) Important Windows 2000 SP4, Windows XP SP2 et SP3, Windows XP Professional Édition x64 et SP2, Windows Server 2003 SP1 et SP2, Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 SP2, Windows Server 2003 avec SP1 et avec SP2 pour systèmes Itanium, Windows Vista et Windows Vista SP1, Windows Vista Édition x64 et Windows Vista Édition x64 SP1, Windows Server 2008 pour systèmes 32 bits*, Windows Server 2008 pour systèmes x64*, Windows Server 2008 pour systèmes Itanium

7 MS08-068 : Indices de gravité Numéro Windows 2000 SP4 Windows XP SP2 et SP3, Windows XP Édition x64 et Édition x64 SP2 Windows Server 2003 x64 et x64 SP2, Windows Server 2003 SP1 et SP2 Windows Server 2003 pour systèmes Itanium et pour systèmes Itanium SP2 Windows Vista et Windows Vista SP1, Windows Vista Édition x64 et Édition x64 SP1 Windows Server 2008 pour systèmes 32 bits, Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes Itanium MS08-068 Important Modéré

8 MS08-068 : Une vulnérabilité dans SMB pourrait permettre lexécution de code à distance (957097) - Important VulnérabilitéUne vulnérabilité d'exécution de code à distance lors du traitement des informations d'identification NTLM pourrait permettre à un attaquant de réutiliser les informations didentification et d'exécuter du code dans le contexte de l'utilisateur connecté. Vecteurs d'attaque possibles L'attaquant met en place un serveur malveillant L'attaquant persuade l'utilisateur de se connecter au serveur malveillant L'attaquant réutilise les informations didentification sur le système local de l'utilisateur Le code de l'attaquant s'exécute sur le système local ImpactExécution de code dans le contexte de l'utilisateur connecté Facteurs atténuants Utiliser un compte standard (sans privilège) peut limiter la portée du code de l'attaquant. Les meilleures pratiques en matière de pare-feu contribuent à protéger en bloquant le trafic SMB (ports TCP 139 et 445)

9 MS08-069 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS08-069 Des vulnérabilités dans Microsoft XML Core Services pourraient permettre l'exécution de code à distance (955218) Critique Toutes versions de Windows et de Windows Server prises en charge ImportantOffice 2003 et Office 2007

10 MS08-069 : Des vulnérabilités dans Microsoft XML Core Services pourraient permettre l'exécution de code à distance (955218) - Critique VulnérabilitéUne vulnérabilité d'exécution de code concernant MSXML 3.0 Vulnérabilités de divulgation d'informations concernant MSXML 4.0, MSXML 5.0 et MSXML 6.0 Vecteurs d'attaque possibles L'attaquant crée une page HTML spécifique L'attaquant poste la page sur un site Web ou l'envoie par email au format HTML L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l'email ImpactExécution de code dans le contexte de l'utilisateur et divulgation d'informations Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.

11 BulletinWindows Update Microsoft Update MBSA 2.1WSUS 2.0 / WSUS 3.0 SMS avec Feature Pack SUS SMS avec Outil d'inventaire des mises à jour SCCM 2007 MS08-068Oui Non 1 Oui MS08-069Oui Non 2 Oui 1.SMS 2.0 et SMS avec Feature Pack SUS prennent uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2 pour ce Bulletin. 2.SMS 2.0 et SMS avec Feature Pack SUS prennent uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2, Office 2003 SP3, Word Viewer 2003 SP3, XML Core Services 4.0 et XML Core Services 6.0 pour ce Bulletin. Détection et déploiement

12 Informations de mise à jour (suite) Bulletin Redémarrage requis HotPatchingDésinstallationRemplace MS08-068 Oui Non applicable OuiMS06-030 MS08-069 Éventuellement Non applicable Oui MS07-042

13 Novembre 2008 – Mises à jour non relatives à la sécurité Article de la Base de connaissances TitreDistribution KB905866 Mise à jour du filtre de courrier indésirable Windows Mail Publication de novembre 2008 pour le filtre de courrier indésirable Windows Mail Catalogue, AutoUpdates, WSUS KB890830 Windows Malicious Software Removal Tool Publication de novembre 2008 pour le Windows Malicious Software Removal Tool Catalogue, AutoUpdates, WSUS

14 Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer : Win32/FakeSecSen Win32/Gimmiv Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update : Disponible par WSUS 2.0 et WSUS 3.0 Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

15 Rapport Microsoft sur les données de sécurité volume 5 Janvier à juin 2008 Point de vue détaillé sur le contexte versatile des menaces Divulgation et exploitation des vulnérabilités Logiciels malveillants et logiciels potentiellement indésirables Protection de la vie privée et notifications de violation de la sécurité Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/sir

16 Ressources Synthèse des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/ms08-nov.mspx Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Avis de sécurité http://www.microsoft.com/france/technet/security/advisory Abonnez-vous à la synthèse des Bulletins de sécurité (en français) http://www.microsoft.com/france/securite/newsletters.mspx Blog du MSRC (Microsoft Security Response Center) http://blogs.technet.com/msrc Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécurité http://www.microsoft.com/france/technet/security

17 Informations légales LOBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR LINFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, LINFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS NASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS DINFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A DEVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A LADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT LOBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ DAUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN DUNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.WWW.MICROSOFT.COM/SECURITY