Table Ronde Bulletins de Sécurité Janvier 2017

Bulletins de Sécurité de Janvier 2017 Avis de Sécurité Revisions Autre contenu Cycle de vie des produits Guide des Mises à Jour de Sécurité Annexes Informations de déploiement Ressources Nouveau 1 Bulletin Avis Nouveaux Critiques Importants 4 2 New Critical Important 10 4 6

Synthèse de la publication des Bulletins de Sécurité de Janvier 2017 Impact Composant Sévérité Index Exploit Public ? Exploité ? MS17-001 Elévation de Privilège Edge Important 1 Oui Non MS17-002 Exécution de code à distance Office Critique MS17-003 Flash Tierce-partie Non noté MS17-004 Déni de Service LSASS 3 Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel

MS17-001 Mise à jour de sécurité pour Microsoft Edge (3214288) Sévérité IMPORTANT Impact EOP Index d’Exploitation 1 Divulgation OUI Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Edge. Cette vulnérabilité pourrait permettre une élévation des privilèges si un utilisateur affichait une page web spécialement conçue à l'aide de Microsoft Edge. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait élever des privilèges dans les versions concernées de Microsoft Edge. La mise à jour corrige la vulnérabilité en affectant une origine unique aux fenêtres de niveau supérieur qui contiennent des URL de données. Résumé Logiciels concernés Windows 10, Windows Server 2016 Les mises à jour de Windows 10 et Windows Server 2016 sont cumulatives. La mise à jour de sécurité mensuelle comprend tous les correctifs de sécurité pour des vulnérabilités qui concernent Windows 10, en plus de mises à jour non liées à la sécurité. Les mises à jour sont disponibles via le Catalogue Microsoft Update. À partir du 13 décembre 2016, les informations concernant Windows 10 et Windows Server 2016 pour les mises à jour cumulatives seront documentées dans les notes de publication. Consultez les notes de publication en ce qui concerne les numéros de build du système d'exploitation, les problèmes connus et la liste de fichiers concernés. Plus d’informations 4

Elévation de Privilège MS17-001 Mise à jour de sécurité pour Microsoft Edge (3214288) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE-2017-0002 Important Elévation de Privilège 1 NA Oui Non Vecteurs d’attaque Facteurs atténuants Contournement L'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé. Il devrait convaincre l'utilisateur de le faire, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, ou en l'incitant à ouvrir une pièce jointe à un message électronique. Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités. Un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Microsoft Edge, puis inciter un utilisateur à consulter ce site. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs qui pourraient contenir du code spécialement conçu susceptible d'exploiter la vulnérabilité. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel

MS17-002 Mise à jour de sécurité pour Microsoft Office (3214291) Sévérité CRITIQUE Impact RCE Index d’Exploitation 1 Divulgation NON Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont les versions concernées d'Office et les composants Office traitent les objets en mémoire. Résumé Logiciels concernés Office 2016, SharePoint Enterprise Server 2016 x64 Plus d’informations Non 6

Exécution de code à distance MS17-002 Mise à jour de sécurité pour Microsoft Office (3214291) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE-2017-0003 Important Exécution de code à distance 1 NA Non Vecteurs d’attaque Facteurs atténuants Contournement Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l'amener à ouvrir le fichier spécialement conçu. Notez que le volet de visualisation n'est pas un vecteur d'attaque pour cette vulnérabilité. Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité. L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version concernée d'un logiciel Microsoft Office. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel

MS17-003 Mise à jour de sécurité pour Adobe Flash Player (3214628) Sévérité CRITIQUE Impact RCE Index d’Exploitation Non noté Divulgation Tierce Partie Cette mise à jour de sécurité corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows Server 2016. Cette mise à jour corrige les vulnérabilités dans Adobe Flash Player en mettant à jour les bibliothèques Adobe Flash concernées contenues dans Internet Explorer 10, Internet Explorer 11 et Microsoft Edge. Résumé Logiciels concernés Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 Plus d’informations Voir le Bulletin de sécurité Adobe APSB17-02 8

Voir le Bulletin de Sécurité Adobe APSB17-02 pour plus de details. MS17-003 Mise à jour de sécurité pour Adobe Flash Player (3214628) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité Voir le Bulletin de Sécurité Adobe APSB17-02 pour plus de details. Vecteurs d’attaque Facteurs atténuants Contournement L'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à exécuter une action, généralement en cliquant sur un lien menant à son site dans un message électronique ou dans un message instantané, ou en ouvrant une pièce jointe à un message électronique. Internet Explorer dans l'interface utilisateur de style Windows 8 lira uniquement le contenu Flash des sites répertoriés dans la liste « Affichage de compatibilité ». Par défaut, Internet Explorer sur Windows Server s'exécute selon un mode restreint appelé Configuration de sécurité renforcée. Empêcher Adobe Flash Player de s'exécuter. Empêcher Adobe Flash Player de s'exécuter dans Internet Explorer via une stratégie de groupe. Empêcher Adobe Flash Player de s'exécuter dans Office 2010 sur les systèmes concernés. Empêcher les contrôles ActiveX de s'exécuter dans Office 2007 et Office 2010 Consulter le bulletin pour plus de détails. Un attaquant pourrait héberger un site web spécialement conçu destiné à exploiter l'une de ces vulnérabilités via Internet Explorer, puis inciter un utilisateur à afficher ce site web. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel

MS17-004 Mise à jour de sécurité pour le service LSASS (3216771) Sévérité IMPORTANT Impact DOS Index d’Exploitation 3 Divulgation OUI Il existe une faille de sécurité de déni de service dans la manière dont le service LSASS gère les demandes d'authentification. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait provoquer un déni de service sur le service LSASS du système visé, ce qui déclencherait un redémarrage automatique de ce système. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le service LSASS traite les demandes d'authentification spécialement conçues. Résumé Logiciels concernés Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 À partir d'octobre 2016, Microsoft modifie le modèle de maintenance des mises à jour pour Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 et Windows Server 2012 R2. Pour plus d'informations, consultez cet article de Microsoft TechNet. Plus d’informations 10

MS17-004 Mise à jour de sécurité pour le service LSASS (3216771) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE-2017-0004 Important Déni de Service NA 3 Permanent Oui Non Vecteurs d’attaque Facteurs atténuants Contournement Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Pour exploiter cette vulnérabilité, l'attaquant non authentifié pourrait envoyer une demande d'authentification spécialement conçue. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel

Avis de Sécurité SA3214296 – Certaines vulnérabilités dans la vérification de la signature de jeton d'Identity Model Extensions peuvent permettre une élévation de privilège Résumé Falsification des Extensions ID Model Microsoft connaît l'existence d'une faille de sécurité dans la version publique de Microsoft.IdentityModel Tokens 5.1.0, dans laquelle les jetons signés avec des clés symétriques peuvent être falsifiés. Actions recommandées Mettez à jour les projets concernés Il est conseillé aux développeurs de mettre à jour toutes les applications afin qu'elles utilisent le package version 5.1.1. Plus d’informations Logiciels concernés .NET présente deux types de dépendances différents : directe et transitive. Votre projet .NET Framework ou .NET Core peut être concerné s'il contient une dépendance directe ou transitive dans l'un des packages concernés figurant à la section « Logiciels concernés ». Vous devez corriger les deux dépendances directes et vérifier et corriger les dépendances transitives éventuelles.

Familles de produits et Services Packs arrivant en fin de support Microsoft ISA Server 2006 Service Packs Microsoft SQL Server 2012 SP2 Plus d’Informations http://support.microsoft.com/lifecycle

Guide des Mises à Jour de Sécurité Informations de vulnérabilité CVSS Automatisation via une API RESTful Vues personnalisées avec la possibilité de trier et de filtrer Feedback: portalfback@microsoft.com Blog: Furthering our commitment to security updates

Annexes

Informations de déploiement Bulletin Impact Composant Redémarrage Désinstallion Annule et remplace MS17-001 Elévation de privilège Edge Oui 3205383/3205386/3206632 MS17-002 Exécution de code à distance Office Oui1 MS16-121 MS17-003 Déni de Service LSASS MS16-149 Sauf SharePoint

Ressources Antimalware Malicious Software Removal Tool Cet outil recherche sur votre ordinateur les infections par des logiciels malveillants spécifiques et répandus (y compris Blaster, Sasser et Mydoom) et les supprime, le cas échéant. Microsoft publie une version mise à jour de cet outil le deuxième mardi de chaque mois. Autres outils de suppression de logiciels malveillants Microsoft Safety Scanner Même moteur que MSRT, mais avec jeu de signatures A/V complet Windows Defender Offline Outil A/V bootable hors ligne avec jeu de signatures complet. Conçu pour supprimer les rootkits et autres malwares qui ne sont pas toujours détectés par les programmes anti-malware. Requiert le téléchargement d’un fichier ISO à graver sur CD, DVD ou clé USB.

Liens et Ressources Microsoft Security Bulletin Summary for January 2017 https://technet.microsoft.com/library/ms17-Jan.aspx Security Bulletin Search http://technet.microsoft.com/security/bulletin Security Advisories http://technet.microsoft.com/security/advisory Microsoft Technical Security Notifications http://technet.microsoft.com/security/dd252948.aspx Detailed Bulletin Information Spreadsheet http://go.microsoft.com/fwlink/?LinkID=245778 Security Tools for IT Pros http://technet.microsoft.com/en-us/security/cc297183 KB894199 Description of Software Update Services and Windows Server Update Services changes in content http://support.microsoft.com/kb/894199 The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software http://support.microsoft.com/kb/890830