Bulletins de sécurité Microsoft Novembre 2009 Jean Gautier, Jérôme Leseinne CSS Security EMEA Bruno Sorcelle Technical Account Manager.

Présentation au sujet: "Bulletins de sécurité Microsoft Novembre 2009 Jean Gautier, Jérôme Leseinne CSS Security EMEA Bruno Sorcelle Technical Account Manager."— Transcription de la présentation:

1 Bulletins de sécurité Microsoft Novembre 2009 Jean Gautier, Jérôme Leseinne CSS Security EMEA Bruno Sorcelle Technical Account Manager

2 Bienvenue ! Présentation des bulletins de Novembre Nouveaux Bulletins de sécurité Mises à jour non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)

3 Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1. Ouvrez linterface Questions-réponses en cliquant sur le menu Q&R : 2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

4 Bulletins de Sécurité de Novembre 2009 MS09-063973565CritiqueWSDAPI Microsoft Windows MS09-064974783Critique Serveur denregistrement de Licence Microsoft Windows MS09-065969947Critique Pilotes kernel mode Microsoft Windows MS09-066973309Important Active Directory Microsoft Windows MS09-067972652ImportantExcel Microsoft Office MS09-068976307ImportantWord

5 MS09-063 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS09-063 Une vulnérabilité dans WSDAPI (API de services Web pour périphériques) pourrait permettre l'exécution de code à distance (973565) Critique Windows Vista (toutes versions)Windows Vista (toutes versions) Windows Server 2008 (toutes versions)Windows Server 2008 (toutes versions)

6 MS09-063 : Une vulnérabilité dans WSDAPI (API de services Web pour périphériques) pourrait permettre l'exécution de code à distance (973565) - Critique VulnérabilitéVulnérabilité d'exécution de code à distance Vecteurs d'attaque possibles Il existe une vulnérabilité d'exécution de code à distance dans WSDAPI (API de services Web pour périphériques) sur les systèmes Windows. Cette vulnérabilité est liée à un traitement incorrect par le service d'un message WSDAPI avec un en-tête spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. ImpactUn attaquant pourrait prendre le contrôle intégrale de la machine. Facteurs atténuantsLes meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés. Seuls les attaquants sur le sous-réseau local pourraient exploiter cette vulnérabilité sans interaction. Même sur les réseaux privés, le service vulnérable est uniquement exposé aux connexions entrantes du sous-réseau local dans le pare-feu Windows. ContournementBloquer les ports TCP entrants 5357 et 5358 et le port UDP sortant 3702 au niveau du pare-feu Informations complémentaires Ces vulnérabilités ont été signalées de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

7 MS09-064 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS09-064 Une vulnérabilité sur le serveur d'enregistrement de licence pourrait permettre l'exécution de code à distance (974783) Critique Microsoft Windows 2000 Server SP4Microsoft Windows 2000 Server SP4

8 MS09-064 : Une vulnérabilité sur le serveur d'enregistrement de licence pourrait permettre l'exécution de code à distance (974783) - Critique VulnérabilitéVulnérabilité d'exécution de code à distance. Vecteurs d'attaque possibles Il existe une vulnérabilité d'exécution de code à distance ne nécessitant aucune authentification, liée à la façon dont le logiciel du serveur d'enregistrement de licence Microsoft traite les paquets RPC spécialement conçus ce qui permettrait à un attaquant qui parviendrait à exploiter cette vulnérabilité de prendre le contrôle intégral du système affecté. ImpactUn attaquant pourrait prendre le contrôle intégrale de la machine. Facteurs atténuants Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés. ContournementDésactivation du service d'enregistrement de licence (License Logging) Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires Ces vulnérabilités ont été signalées de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

9 MS09-065 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS09-065 Des vulnérabilités dans les pilotes kernel-mode (mode noyau) Windows pourraient permettre l'exécution de code à distance (969947) Critique Windows 2000 (toutes versions) Windows 2000 (toutes versions) Windows XP (toutes versions) Windows XP (toutes versions) Windows Server 2003 (toutes versions) Windows Server 2003 (toutes versions) Windows Vista (toutes versions) Windows Vista (toutes versions) Windows Server 2008 (toutes versions) Windows Server 2008 (toutes versions)

10 MS09-065: Des vulnérabilités dans les pilotes kernel-mode (mode noyau) Windows pourraient permettre l'exécution de code à distance (969947) - Critique VulnérabilitéDeux vulnérabilités délévation de privilège et une vulnérabilité d'exécution de code à distance. Vecteurs d'attaque possibles La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une police Embedded OpenType (EOT) spécialement conçue. ImpactUn attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuantsTout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Cela naffecte pas Windows Vista et Windows Server 2008 ContournementDésactivation de la prise en charge du traitement des polices intégrées dans Internet Explorer Informations complémentaires Une vulnérabilité a été révélée publiquement (CVE-2009-2514). À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

11 MS09-066 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS09-066 Une vulnérabilité dans Active Directory pourrait permettre un déni de service (973309) Important Microsoft Windows 2000 Server Service Pack 4 Microsoft Windows 2000 Server Service Pack 4 Windows Server 2003 (toutes versions) Windows Server 2003 (toutes versions) ADAM sur Windows XP Professionnel (toutes versions) ADAM sur Windows XP Professionnel (toutes versions) ADAM sur Windows Server 2003 (toutes versions) ADAM sur Windows Server 2003 (toutes versions) Windows Server 2008 x86 Windows Server 2008 x86 Windows Server 2008 x86 (AD LDS) Windows Server 2008 x86 (AD LDS) Windows Server 2008 for x64 Windows Server 2008 for x64 Windows Server 2008 for x64 (AD LDS) Windows Server 2008 for x64 (AD LDS)

12 MS09-066 : Une vulnérabilité dans Active Directory pourrait permettre un déni de service (973309) - Important VulnérabilitéVulnérabilité de déni de service. Vecteurs d'attaque possibles Il existe une vulnérabilité de déni de service dans les implémentations d'Active Directory sur Windows 2000 Server, Windows Server 2003 et Windows Server 2008. Cette vulnérabilité existe également dans les implémentations d'Active Directory en mode application (ADAM) installé sur Windows XP et Windows Server 2003 et Active Directory Lightweight Directory Service (AD LDS) sur Windows Server 2008. Cette vulnérabilité est due à l'épuisement de l'espace de pile lors de l'exécution de certains types de requêtes LDAP ou LDAPS. Impact Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système affecté de répondre Facteurs atténuantsLes meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare- feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés. ContournementBlocage des ports TCP 389, 636, 3268 et 3269 au niveau du pare-feu Informations complémentaires Cette vulnérabilité a été signalée de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

13 MS09-067 : Introduction NuméroTitre Indice de gravité maximal Produits affectés MS09-067 Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (972652) Important Excel 2002 SP3Excel 2002 SP3 Excel 2003 SP3Excel 2003 SP3 Excel 2007 SP1 & SP2Excel 2007 SP1 & SP2 Excel Viewer 2003 SP3Excel Viewer 2003 SP3 Office Excel ViewerOffice Excel Viewer Office Compatibility Pack SP1 & SP2Office Compatibility Pack SP1 & SP2 Office 2004, Office 2008, and Open XML File Format Converter for MacintoshOffice 2004, Office 2008, and Open XML File Format Converter for Macintosh

14 MS09-067 : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (972652) - Important VulnérabilitéVulnérabilités d'exécution de code à distance. Vecteurs d'attaque possibles Quatre vulnérabilités dexécution de code à distance existent dans la manière dont Excel traite des fichiers Excel spécialement conçus qui permettrait à un attaquant de prendre le contrôle intégral du système. Impact Un attaquant pourrait prendre le contrôle intégrale de la machine. Facteurs atténuantsCela ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Les utilisateurs d'Office XP et des versions ultérieures d'Office seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document. ContournementAdoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable.Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer. Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable. N'ouvrez pas de fichiers Excel provenant de sources non fiables ou reçus de sources fiables de manière inattendue. Cette vulnérabilité pourrait être exploitée lorsqu'un utilisateur ouvre un fichier spécialement conçu. Informations complémentaires Ces vulnérabilités ont été signalées de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

15 MS09-068 : Introduction NuméroTitre Indice de gravité maximal Produits affectés MS09-068 Une vulnérabilité dans Microsoft Office Word pourrait permettre l'exécution de code à distance (976307) Important Word 2002 SP3Word 2002 SP3 Word 2003 SP3Word 2003 SP3 Word Viewer 2003 SP3Word Viewer 2003 SP3 Office Word ViewerOffice Word Viewer Office 2004, Office 2008, & Open XML File Format Converter for MacintoshOffice 2004, Office 2008, & Open XML File Format Converter for Macintosh

16 MS09-068 : Une vulnérabilité dans Microsoft Office Word pourrait permettre l'exécution de code à distance (976307) - Important VulnérabilitéVulnérabilités d'exécution de code à distance. Vecteurs d'attaque possibles Il existe une vulnérabilité d'exécution de code à distance dans la façon dont Microsoft Office Word traite un fichier Word spécialement conçu contenant un enregistrement mal formé. Impact Un attaquant pourrait prendre le contrôle intégrale de la machine. Facteurs atténuantsL'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs d'Office XP et des versions ultérieures d'Office seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document. ContournementN'ouvrez pas de documents Word provenant de sources non fiables Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable. Informations complémentaires Cette vulnérabilité a été signalée de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

17 BulletinWindows Update Microsoft Update MBSA 2.1WSUS 3.0SMS avec Feature Pack SUS SMS avec Outil d'inventaire des mises à jour SCCM 2007 MS09-063 Oui NonOui MS09-064 Oui Oui 1 Oui MS09-065 Oui Oui 1 Oui MS09-066 Oui Oui 1 Oui MS09-067 NonOuiOui 2 OuiNonOui MS09-068 NonOuiOui 2 OuiNonOui 1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Office System 2007, Works 8.5 & 9.0, ISA 2006. Virtual PC et Virtual Server, Windows Vista, Windows Server 2008, toutes versions de Windows x64 et les systèmes Windows ia64 2 - Microsoft ne fournis pas doutils de detection et déploiement pour les applications qui fonctionnent sur Macintosh Détection et déploiement

18 Informations de mise à jour (suite) BulletinRedémarrage requisDésinstallationRemplace MS09-063 Oui MS09-064 Oui MS09-065 Oui MS09-025 MS09-066 Oui MS08-035 MS09-018 MS09-067 ÉventuellementOuiMS09-021 MS09-068 ÉventuellementOuiMS09-027

19 Novembre 2009 - Mises à jour non relatives à la sécurité ArticleTitleDistribution 905866Update for Windows Mail Junk E-mail Filter AU, WSUS et Catalogue 890830Windows Malicious Software Removal Tool AU, WSUS et Catalogue 968930Update for Windows Server 2008, Windows Vista, Windows Server 2003, and Windows XP : The Windows Management Framework Core package provides updated management functionality for IT Professionals AU, WSUS et Catalogue 943729Group Policy Preference Client Side Extensions for Windows Server 2003 and Windows XP : Multiple Group Policy Preferences have been added to the Windows Server 2008 Group Policy Management Console AU, WSUS et Catalogue 970430Update for Windows Server 2008, Windows Vista, Windows Server 2003, and Windows XP : Install this update to help strengthen authentication credentials in specific scenarios AU, WSUS et Catalogue 971737Update for Windows Server 2008, Windows Vista, Windows Server 2003, and Windows XP : Install this update to help strengthen authentication credentials in specific scenarios AU, WSUS et Catalogue 960568Update for Windows Server 2008 and Windows Vista : The Windows Management Framework BITS package provides updated management functionality for IT Professionals AU, WSUS et Catalogue

20 Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer : Win32/FakeVimes Win32/PrivacyCenter. Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove http://www.microsoft.com/france/securite/malwareremove

21 Ressources Synthèse des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/ms09-nov.mspx http://www.microsoft.com/france/technet/security/bulletin/ms09-nov.mspx Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin http://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Avis de sécurité http://www.microsoft.com/france/technet/security/advisory Abonnez-vous à la synthèse des Bulletins de sécurité (en français) http://www.microsoft.com/france/securite/newsletters.mspx http://www.microsoft.com/france/securite/newsletters.mspx Blog du MSRC (Microsoft Security Response Center) http://blogs.technet.com/msrc http://blogs.technet.com/msrc Microsoft France sécurité http://www.microsoft.com/france/securite http://www.microsoft.com/france/securite TechNet sécurité http://www.microsoft.com/france/technet/security http://www.microsoft.com/france/technet/security

22 Informations légales LOBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR LINFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, LINFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS NASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS DINFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A DEVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A LADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT LOBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ DAUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN DUNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.WWW.MICROSOFT.COM/SECURITY