Bulletins de Sécurité Microsoft Novembre 2011 Bruno Sorcelle Technical Account Manager

Bienvenue ! Présentation des bulletins de Novembre Nouveaux bulletins de Sécurité 1 Critique 2 Importants 1 Modéré 2 bulletins réédités 1 avis de sécurité Mises à jour Non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)

Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1.Ouvrez linterface et cliquez dans sur lespace messagerie instantanée 2.Précisez le numéro du Bulletin, entrez votre question

BulletinN°ArticleLogicielAffectéComposantAffecté Indice de gravité Priorité de déploiement Max. Exploit Index Rating Révélé publiquem ent MS WindowsTCP/IPCritique12Non MS WindowsKernel-Mode DriversModéré3*Non MS WindowsWindows MailImportant21Non MS WindowsActive DirectoryImportant21Non Bulletins de Sécurité de Novembre Possibilité de code dexploitation fonctionnel | 2 - Possibilité de code dexploitation peu fonctionnel | 3 - Faible possibilité de code dexploitation fonctionnel | * Non concerné Index dexploitabilité : 1 - Possibilité de code dexploitation fonctionnel | 2 - Possibilité de code dexploitation peu fonctionnel | 3 - Faible possibilité de code dexploitation fonctionnel | * Non concerné

MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans TCP/IP pourrait permettre l'exécution de code à distance ( ) Critique Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées Windows Server 2008 R2 (Toutes les versions supportées)

MS : Une vulnérabilité dans TCP/IP pourrait permettre l'exécution de code à distance ( ) - Critique VulnérabilitéVulnérabilité dexécution de code à distance Vecteurs d'attaque possibles Un flux continu de paquets UDP spécialement conçus à un port fermé sur un système cible, entrainant un dépassement dentier. ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsMicrosoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Contournement Bloquer les ports UDP non utilisés au niveau du pare-feu de périmètre Informations complémentaires Cette vulnérabilité na pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre un déni de service ( ) Modéré Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)

MS : Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre un déni de service ( ) - Modéré VulnérabilitéVulnérabilité de Déni de Service Vecteurs d'attaque possibles Un attaquant pourrait héberger une police TrueType spécialement conçue sur un partage réseau. Lorsque l'utilisateur navigue vers le partage dans l'Explorateur Windows, le chemin de contrôle concerné est déclenché via le volet des détails et le volet de visualisation. La police TrueType spécialement conçue pourrait alors exploiter la vulnérabilité et empêcher le système de répondre. ImpactUn attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système cible de répondre et pourrait le forcer à redémarrer. Facteurs atténuantsLe protocole de partage de fichiers SMB est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque à distance potentiels pour cette vulnérabilité. Pour qu'une attaque aboutisse, un utilisateur doit visiter un emplacement de système de fichiers à distance ou un partage WebDAV non fiable qui contient un fichier de police TrueType spécialement conçu ou bien ouvrir le fichier joint à un message. ContournementDésactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires Cette vulnérabilités na pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans Windows Mail et l'Espace de collaboration Windows pourrait permettre l'exécution de code à distance ( ) Important Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées Windows Server 2008 R2 (Toutes les versions supportées)

MS : Une vulnérabilité dans Windows Mail et l'Espace de collaboration Windows pourrait permettre l'exécution de code à distance ( ) - Important VulnérabilitéVulnérabilité dexécution de code à distance Vecteurs d'attaque possibles Un fichier légitime et un fichier DLL spécialement conçu sur un partage réseau, un emplacement UNC ou WebDAV, puis convaincre l'utilisateur d'ouvrir ce fichier. ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsPour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier légitime (tel qu'un fichier.eml ou.wcinv) à partir de cet emplacement, celui-ci étant ensuite chargé par une application vulnérable. Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare- feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Sur Windows Server 2008, Windows Mail et l'Espace de collaboration Windows ne sont pas installés par défaut. Windows Mail est uniquement installé lorsque l'Expérience utilisateur est également installée. Bien que le code vulnérable existe sur Windows 7 et Windows Server 2008 R2, Microsoft n'a pas connaissance de vecteurs d'attaque qui permettraient l'exploitation de la vulnérabilité sur ces systèmes d'exploitation. ContournementDésactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires Cette vulnérabilité na pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans Active Directory pourrait permettre une élévation de privilèges ( ) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server bits SP2 Windows Server 2008 x64 SP2 Windows 7 (Toutes les versions supportées Windows Server 2008 R2 x64 (Toutes les versions supportées)

MS : Une vulnérabilité dans Active Directory pourrait permettre une élévation de privilèges ( ) - Important VulnérabilitéVulnérabilités dexécution de code à distance, délévation de privilèges, de divulgation d'informations et de Déni de Service Vecteurs d'attaque possibles Un attaquant devrait d'abord acquérir un certificat révoqué associé à un compte valide sur le domaine. Lattaquant pourrait alors exploiter cette vulnérabilité en utilisant ce certificat précédemment révoqué pour s'authentifier auprès du domaine Active Directory et accéder aux ressources réseau ou exécuter du code avec les privilèges d'un utilisateur autorisé spécifique auquel le certificat est associé. ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir l'accès à des ressources réseau ou exécuter du code avec les privilèges d'un utilisateur autorisé spécifique. Facteurs atténuantsLes meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare- feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés. ContournementSupprimer le compte utilisateur du domaine associé au certificat révoqué. Utilisez des connexions IPsec en mode « Toujours vérifier la liste de révocation de certificats » en plus de l'utilisation LDAPS. Informations complémentaires Cette vulnérabilité na pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Réédition

Avis de Sécurité

MS Oui MS MS MS Détection et déploiement Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de sorienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour Notre gamme complète de produits et services

Informations de mise à jour BulletinRedémarrage requisDésinstallationRemplace MS Oui MS MS Oui MS MS PossibleOuiAucun MS Oui MS10-068

Novembre Mises à jour Non relatives à la sécurité ArticleTitleDistribution KB905866Update for Windows Mail Junk Filter The November 2011 release of the Windows Mail Junk Filter Catalog, AU, WSUS KB890830Windows Malicious Software Removal Tool The November 2011 release of the Windows Malicious Software Removal Tool Catalog, AU, WSUS Info: KB Description of Software Update Services and Windows Server Update Services changes in content for

Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer :Win32/Carberp A prevalent downloader associated with online banking Trojans Win32/Cridex A multi-purpose bot that steals data and spread malware Win32/Dofoil A prevalent Trojan downloader Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante :

Après le 10 janvier 2011 les produits ou Service Pack suivants ne sont plus supportés : SQL Server 2005 Service Pack 3 SQL Server 2005 Service Pack 3 Dynamics AX 3.0 Dynamics AX 3.0 Host Integration Server 2000 Host Integration Server 2000 Content Management Server 2001 Content Management Server 2001 Pour rappel…

Ressources Synthèse des Bulletins de sécurité Bulletins de sécurité Webcast des Bulletins de sécurité Avis de sécurité Abonnez-vous à la synthèse des Bulletins de sécurité (en français) Blog du MSRC (Microsoft Security Response Center) Microsoft France sécurité TechNet sécurité

Informations légales LOBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR LINFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, LINFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET Technologies ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS NASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS DINFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A DEVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A LADRESSE SUIVANTE SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT LOBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ DAUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN DUNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.