Les ressources : bulletins, outils et publications Michel BERNEUIL Responsable Technique de Compte Microsoft France
Agenda Vulnérabilités, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSAT)
Vie et mort d’une vulnérabilité… Les attaques se produisent majoritairement ici La plupart des exploits sont conçues après la mise à disposition du correctif Vulnérabilité théorique Vulnérabilité à une attaque générale Mesure traditionnelle de la vulnérabilité Signalement volontaire Test, intégration et déploiement Ignorance Module Gap Produit installé Vulnérabilité découverte Vulnérabilité publique Composant corrigé Correctif publié Correctif déployé chez les clients .
Vie et mort d’une vulnérabilité…suite 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et l’exploitation Le temps avant exploitation Est devenu si court que le “patching” n’est plus une défense suffisante Le temps est de plus en plus réduit pour appliquer du “reverse engineering” au patch et découvrir la faille… 18 Sasser
Microsoft Security Response Center secure@microsoft.com Suivi des listes Sécurité Point central de coordination et communication Analyse et traitement des rapports de vulnérabilités Responsable du plan et de sa coordination au sein de Microsoft Travaille à la réduction des risques en modifiant les processus internes de développement par rapport à la sécurité Plan de réponse Sécurité de Microsoft Travaille avec les autorités légales et les décideurs Création d’une communauté d’échange avec les découvreurs des vulnérabilités Communauté et Communications http://www.microsoft.com/security/msrc/default.mspx
Le MSRC : un centre névralgique Microsoft Security Response Center Éditeurs Sécurité Clients Microsoft Recherche Sécurité Partenaires Microsoft Décideurs Industrie Agences gouvernementales MSRC Presse Juridique Groupes Produits Equipes Support
Genèse d’un correctif de sécurité Publication bulletin de sécurité : 2ème Mardi de chaque mois Coordination de toute la communication en ligne Envoi d’informations et de conseils aux clients Suivi des problèmes clients et de l’activité Presse Publication Création de contenu Écriture du bulletin de sécurité : Logiciels/composants affectés Description technique Contournements et atténuation FAQs Remerciements Validation du groupe de produit Relation avec l’auteur Communication Réponse rapide Analyse de la motivation et des besoins Échanges réguliers Communauté Encourager les rapports volontaires Priorité Analyse du rapport et des impacts possibles sur les clients Évaluation de la sévérité de la vulnérabilité et des risques d’exploitation Niveau de priorité décidé Le MSRC reçoit les rapports de vulnérabilité par: Secure@Microsoft.com Site TechNet Sécurité – rapports anonymes MSRC s’engage à répondre à tous les rapports en 24 h Rapport de vulnérabilité MAJ des outils et règles MAJ « best practices » MAJ des outils de test MAJ du processus de développement et de design Test Plusieurs niveaux de test : Vérification de l’Installation et du packaging Profondeur Intégration Réseau Microsoft Réalisation du correctif Équipe Produit : Identifie l’impact de la vulnérabilité Recherche de variantes Analyse en profondeur du code et des spécifications Ecriture du correctif pour test
Sévérité des bulletins L'exploitation de cette vulnérabilité peut permettre la propagation d'un ver Internet, tel que Code Red, Nimda ou Blaster, sans intervention de l'utilisateur Critique L'exploitation de cette vulnérabilité peut impacter l'intégrité, la confidentialité ou la disponibilité des données de l'utilisateur, l'intégrité ou la disponibilité des ressources de traitement Important L'exploitation de cette vulnérabilité a des conséquences sérieuses, mais atténuées par des facteurs tels que la configuration par défaut, l'audit, la nécessité d'une intervention de l'utilisateur ou la difficulté d'exploitation Modéré Faible L'exploitation de cette vulnérabilité est très difficile ou a un impact minime Plus d’information : www.microsoft.com/technet/security/bulletin/rating.mspx
Le MSRC et les bulletins de sécurité Avant la publication Pré-annonce des bulletins (J-3 = Jeudi) : MSRC Bulletin Notification nombre de bulletins niveau de sévérité anticipé aperçu des produits affectés http://www.microsoft.com/technet/security/bulletin/advance.mspx Correctifs publiés sur le Download Center, WU et/ou Office Update, MU Notifications envoyées par email aux clients http://www.microsoft.com/technet/security/bulletin/notify.mspx Bulletins publiés les sites Microsoft http://www.microsoft.com/france/securite/bulletins/default.mspx Informations proactives pour la Presse Publication sur les newsgroups Sécurité / flux RSS Publication 2nd Mardi Après la publication Webcast d’informations sur les bulletins (Mercredi, 19h00) http://www.microsoft.com/technet/security/default.mspx Suivi des bulletins et des problèmes client via le Support. Maintenance des bulletins
Les avis de sécurité (“Security Advisories”) Fournit des informations et conseils à propos de modifications de logiciels et de mises à jour liées à la sécurité Quelques exemples de thèmes qui pourraient être traités : Améliorations de sécurité pour la “défense en profondeur" ou d’autres changements non liés à des vulnérabilités Conseils de protection qui pourraient s’appliquer à propos de vulnérabilités divulguées publiquement Complémente les bulletins de sécurité Microsoft Résumé des raisons de la publication de l’avis de sécurité Forum aux questions Actions suggérées Peut être mis à jour à n’importe quel moment où nous avons davantage d’informations Contenu Fait référence à un numéro d’article de la base de connaissance (Knowledge Base) pour davantage d’informations Inscription : www.microsoft.com/technet/security/bulletin/notify.mspx Plus d’informations www.microsoft.com/technet/security/advisory
Réponse à un incident de sécurité Aperçu Processus d’entreprise pour faire face aux menaces de sécurité critiques Mobilisation de ressources Microsoft dans le monde entier Objectifs : Obtenir rapidement une bonne compréhension du problème Vous fournir à temps des informations pertinentes et cohérentes Fournir des outils des mises à jour de sécurité et d’autre éléments d’aide à la restauration du service normal
Réponse à un incident de sécurité Watch Observation (détection d’un problème potentiel) Relations avec : Partenaires Chercheurs en sécurité et découvreurs de vulnérabilités Écoute des demandes clients au support, de celles de la presse Alert and Mobilize Évaluation du niveau de gravité Mobilisation des équipes de réponse et des groupes de support en 2 groupes : Emergency Engineering Team Emergency Communications Team Observation des demandes clients et niveau d’intérêt à propos de cet incident Assess and Stabilize Évaluation de la situation et des infos techniques disponibles Début du travail sur la solution Communication des conseils initiaux et des contournements Notification et information des employés de Microsoft Resolve Fourniture d’informations et d’outils pour rétablir la situation normale La solution appropriée est fournie : mise à jour de sécurité, outil ou correctif Revue des processus internes et dégagement des enseignements
Étude de cas : Sasser Watch Alert & Mobilize Assess & Stabilize Publication des bulletins de sécurité d’avril 2004, incluant celui référencé MS04-011 qui traite d’une vulnérabilité corrigée dans LSASS Début de l’observation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Watch (13-28 avril 2004) Premier rapports de l’arrivée prochaine de Sasser Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes d’urgence techniques et communications Alert & Mobilize (29 avril 2004) Début d’analyse technique et travail sur la solution (outil de nettoyage) Conseils initiaux communiqués Page Sasser sur www.microsoft.com/security Alertes par e-mail envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés Publication de l’outil de suppression de Sasser (Sasser Worm Removal Tool) v1.0 sur le Centre de téléchargement Assess & Stabilize (30 avril - 3 mai 2004) v2.0 de l’outil de suppression de Sasser sur Windows Update Communication massive auprès des clients et partenaires pour aider à nettoyer les systèmes : Webcast technique Sasser (en anglais) Chats en ligne avec les support Mise à jour des sites Microsoft Outil de suppression mis à jour en permanence pour nettoyer de nouvelles variantes Resolve (4-10 mai 2004)
Étude de cas : MSN Messenger Microsoft publie les bulletins de sécurité pour février 2005, dont MS05-009 qui traite d’une vulnérabilité corrigée dans la manipulation des fichiers PNG touchant MSN Messenger 6.1 & 6.2 Début de l’observation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Watch (8-9 février 2005) Premiers rapports d’une exploitation publique pour MSN Messenger Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes d’urgence techniques et communications Alert & Mobilize (9 février 2005) Début de l’analyse technique Conseils initiaux, recommandant la mise à jour vers la dernière verion de MSN Messenger incluant la correction Page dédiée www.microsoft.com/security/incident/im.mspx Alertes par e-mail envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés Assess & Stabilize (9 février 2005) Décision de l’obligation de mise à jour de MSN Messenger pour pouvoir utiliser le service Notification de la décision d’obligation de mise à jour : Mise à jour des sites Web de l’entreprise Envoi des alertes aux partenaires et employés Le passage obligatoire par la mise à jour a réduit l’impact et la diffusion du ver Resolve (10-11 février 2005)
Étude de cas : WMF Watch Alert & Mobilize Assess & Stabilize Resolve Première information dans les Newsgroup Escalade immédiate Watch (27 décembre 2005) Alerte des équipes de réponse à un incident de sécurité et mise en place d’une équipe Observation des impacts Alert & Mobilize (27 décembre 2005) Analyse de l’attaque, développement et test d’une mise à jour Publication d’avis de sécurité incluant des solutions de contournement. Diffusion du correctif en dehors du cycle normal Assess & Stabilize (27 décembre 2005 au 5 janvier 2006) Observation des lignes de support, des newsgroup et des communautés Analyse en interne des processus Resolve (5 janvier et suivant)
Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)
Solutions Techniques Mode « Pull » Mode « Push » Windows Update SUS 1 . WSUS (SUS 2.0) SMS Windows 98 , NT 4 , XP , Windows 98 , NT 4 , XP , Windows XP , 2000 , 2003 Windows XP , 2000 , 2003 2000 , 2003 2000 , 2003 Patches, Màj, SP , Patchs , Màj , SP Patches, SP Màj Office , SQL , Exchg . Patches, Màj, SP Communication directe Toutes applications Rapports avec l’Internet Fonctionnement au Rapports personnalisés travers d’un proxy Communication sécurisée ( https ) Création de groupes d’ordinateurs cibles API Scriptables ( côtés client et serveur ) MBSA Solution Microsoft complémentaire pour analyser le niveau Inventaire et gestion de la de protection des ordinateurs cibles base d’installations intégrées à SMS Pas de support pour Windows NT4 et W98
Image ISO des correctifs Windows http://support.microsoft.com/kb/913086/en-us
MBSA Automatise l'identification des correctifs de sécurité manquants et des problèmes de configuration de la sécurité Permet à un administrateur d'analyser d'un point central un grand nombre de systèmes Scriptable (Consolidation) 2 modes Graphique (GUI) Ligne de commande Disponible en version 2.0 http://www.microsoft.com/technet/security/tools/mbsahome.mspx
MBSA 2.0 Déploiement de l’agent Microsoft Update Exécution de MBSA sur un système d’administration, en spécifiant une ou des cibles Tentative d’analyse (API) WSUSSCAN.CAB WindowsUpdateAgent20-x86.exe WindowsUpdateAgent20-x64.exe Si l’interface d’analyse (API) n’est pas disponible, téléchargement des composants de l’agent Pousse l’agent, accord explicite, puis essaie de nouveau l’API Si le site MU ne peut pas être utilisé, alors téléchargement de WSUSSCAN.CAB Comparaison de la version de l’agent dans le .CAB à la version de l’agent WUA Si version inférieure, alors on reprend en 3., puis on essaie de nouveau avec WSUSSCAN.CAB Console MBSA Machine cible
Site MU (Microsoft Update) Analyse avec MBSA 2.0 Microsoft Update Exécution de MBSA depuis un système d’administration, en spécifiant la ou les cibles .CAB hors ligne Site MU (Microsoft Update) Par défaut, tentative avec le serveur WSUS (s’il est assigné) Tentative avec le site MU (par défaut) Si échec avec MU, alors on utilise le fichier .CAB WSUS Si le .CAB actuel n’est pas à jour, télécharger le nouveau Analyse avec le .CAB (API) Si WSUS et MU produisent tous les deux des résultats, les fusionner Console MBSA Utilisation du score par défaut pour les mises à jour non approuvés par WSUS Machine cible
Détection de mises à jour MBSA 2.0 Mises à jour de sécurité (aujourd’hui) Windows 2000 SP3 et + IIS 5.0 et + SQL Server 2000 / MSDE et + IE 5.01 SP3 et + Exchange 2000, 2003 et + Windows Media Player 6.4 et + Office XP, 2003 et + MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM) Mises à jour de sécurité (nouveautés) DirectX .NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition Nouvelles plateformes Seulement à distance, uniquement pour les mises à jour XP Embedded IA64 Mises à jour seulement X64 Pas disponible tout de suite Service Packs de SQL et Exchange Mises à jour d’Office 2000 Commerce Server Content Mgt Server BizTalk Host Integration Server
MBSA – Rapports (GUI)
MBSA 2.0 démo
Options en ligne de commande MBSA 1.2.x /hf /h ou /hf /i /c ou /i /hf /x /hf /sus /hf /fip /hf /fh /v MBSA 2.0 /target /catalog /xmlout or /n * /wa /listfile /ld * = OS+IIS+SQL+Motdepasse
MBSA 2.0 Analyse sans installation Performance mbsacli.exe, wsusscan.dll et wsusscan.cab requis pour une analyse hors ligne Performance Possibilité de lancer plusieurs instances simultanément Supportera les CVE-IDs du Mitre quand le contenu sera ajouté à Microsoft Update Connecteur Visio
MBSA - Compléments Connecteur Visio Add-in COM pour Visio 2003 Visualisation des résultats MBSA 2 modes : Import des résultats dans le schéma du réseau Lancement du scan directement à partir du schéma http://www.microsoft.com/downloads/details.aspx?FamilyID=8ea27d78-32b5-4f37-a7fd-99ee2aa76c62&DisplayLang=en
MBSA 1.2.1 Fin de support au 31 mars 2006 MSSecure.xml (version MBSA 1.2.1) Ne concerne pas • Microsoft SMS 2.0 avec Software Update Services (SUS) Feature Pack • Microsoft SMS 2003 http://support.microsoft.com/kb/914791
Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSAT)
Spectre des logiciels malveillants COMPORTEMENT DESCRIPTION EXEMPLES Aucun Inoffensif Pas de nuisance potentielle Bloc-notes Publicité Logiciel payé / publicité Pop-ups non autorisés Affichage de publicité Collecte données Barre de recherche Canal caché Collecte de données perso Potentiel de nuisance Changt paramètres Utilitaire de paramétrage Détournement navigateur Changement paramétrage Surveillance Contrôle parental Key loggers Enregistrement clavier Numérotation Logiciel FAI Numéroteur site porno Numérotation automatique Utilisation distante Appli de partage de cycles Porte dérobée Utilisation ressources Malfaisant Extrême Clairement malfaisant Sasser
Spectre des logiciels malveillants COMPORTEMENT DESCRIPTION EXEMPLES Aucun Inoffensif Spyware (logiciel espion) ou autre logiciel indésirable programme qui effectue un certain nombre d’opérations sans le consentement approprié de l’utilisateur Publicité Collecte données Potentiel de nuisance Changt paramètres Surveillance Numérotation Utilisation distante Virus, vers, chevaux de Troie Programmes ayant des activités malfaisantes Malfaisant Extrême
Quelques idées de l’ampleur La cause d’au moins 1/3 de tous les crashes des applications Windows1 Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell2 Consommateurs 91 % des utilisateurs de l’Internet haut débit sont affectés3 En moyenne : 5+ « spyware » / « adware » par machine4 Entreprise 5 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spyware » 1Analyses MS Watson/OCA, Jan-Mar 2004 2FTC Workshop, Avril 2004 3,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 2004 5Websense Web@Work Survey, Avril 2004
Microsoft Windows AntiSpyware Lutte contre les logiciels espions Microsoft Windows AntiSpyware Aide à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non désirés Détection et suppression des spywares / logiciels indésirables 9 agents en temps réel (dont Internet Explorer) Analyses planifiées Arrêt des dernières menaces Communauté SpyNet : identifier les nouveaux spywares Mise à jour automatique des signatures
Windows Defender démo
Windows Defender Plus de 25 millions de téléchargements Retours positifs Signatures anti-spyware mises à jour toutes les semaines Site Microsoft Anti-spyware http://www.microsoft.com/spyware
Evolution de l’Anti-spyware Windows Client Windows Defender Détection et suppression des spywares Protection continue Défenses à jour En entreprise Déploiement centralisé (client et signatures) Rapports étendus Options de configuration et contrôle Admin des signatures
Outil de suppression des logiciels malfaisants (MSRT) Complémente les technologies traditionnelles des Antivirus en fournissant un outil qui supprime virus et vers les plus répandus Mise à jour tous les mois pour supprimer les nouveaux logiciels malfaisants Ciblé vers les consommateurs sans antivirus Déployable en entreprise comme partie intégrante d’une stratégie de défense en profondeur Disponible à travers Windows Update Auto Update Interface en ligne (ctrl ActiveX sur http://www.microsoft.com/france/securite/outils/malware.mspx) Download Center
Outil de suppression des logiciels malfaisants Remplace toutes les versions précédentes des logiciels d’éradication de codes malfaisants produits par Microsoft Cible Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (aussi connu comme Download.Ject), Gaobot, Nachi, Sober, Zorob Disponible dans les 23 langues supportés par Windows XP http://support.microsoft.com/?id=890830 http://www.microsoft.com/france/securite/outils/families.mspx
Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSAT)
Pas simplement des technos…
Les 3 facettes de la sécurité Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLS Clusters Détection d’intrusion Gestion de systèmes Supervision Pare-feu Antivirus Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur
Microsoft Security Risk Self-Assessment Tool Évaluer les faiblesses de votre environnement en matière de sécurité informatique Questionnaire détaillé Traite infrastructure, applications, opérations et personnel Multilangue, mise à jour en ligne Possibilité de comparaison anonyme http://www.microsoft.com/france/securite/outils/riskself.mspx
MSAT démo
Publications Microsoft Guides de sécurité pour le poste de travail: http://www.microsoft.com/technet/security/topics/DesktopSecurity.mspx
Publications Microsoft Guides de sécurité pour les serveurs: http://www.microsoft.com/technet/security/topics/serversecurity.mspx
Abonnez-vous Flash Sécurité : http://www.microsoft.com/france/securite/newsletters.mspx Grand public : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1 IT Pro : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1 Alerte et Bulletins http://www.microsoft.com/technet/security/bulletin/notify.mspx RSS Feed, Instant Messaging, Notification Service (+ Comprehensive)
Ressources Général (Abonnements bulletins, alertes, newsflash) http://www.microsoft.com/security http://www.microsoft.com/france/securite Security Guidance Center : http://www.microsoft.com/security/guidance http://www.microsoft.com/france/securite/entreprises/default.mspx Outils : http://www.microsoft.com/technet/Security/tools Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ? http://www.microsoft.com/technet/itsolutions/msit E-Learning Clinics : https://www.microsoftelearning.com/security Événements et Webcasts : http://www.microsoft.com/seminar/events/security.mspx Hotline sécurité : 0 825 827 829 code 55
Nous sommes tous des ingénieurs support Pour notre famille Pour nos amis Pour nos voisins
www.protegetonordi.com
La sécurité informatique à la maison www.microsoft.com/france/securite/gpublic/default.mspx
Windows Live Safety Center (beta) http://safety.live.com/site/en-US/center/howsafe.htm
Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com