Bulletins de Sécurité Microsoft Septembre 2011 Bruno Sorcelle, Valéry Kremer Technical Account Manager.

Présentation au sujet: "Bulletins de Sécurité Microsoft Septembre 2011 Bruno Sorcelle, Valéry Kremer Technical Account Manager."— Transcription de la présentation:

1 Bulletins de Sécurité Microsoft Septembre 2011 Bruno Sorcelle, Valéry Kremer Technical Account Manager

2 Bienvenue ! Présentation des bulletins de Septembre 2011 5 Nouveaux bulletins de Sécurité 5 Importants 1 avis de sécurité ré-édité Mises à jour Non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)

3 Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1.Ouvrez l’interface et cliquez dans sur l’espace messagerie instantanée 2.Précisez le numéro du Bulletin, entrez votre question

4 BulletinN°ArticleComposantAffectéLogicielAffecté Indice de gravité Priorité de déploiement Max. Exploit Index Rating Révélé publiquem ent MS11-070 2571621 WindowsWINSImportant31Non MS11-071 2570947 WindowsComposants WindowsImportant21Oui MS11-072 2587505 Microsoft Office ExcelImportant21Non MS11-073 2587634 Microsoft Office Important21Oui MS11-074 2451858 Microsoft Office SharePointImportant31Oui Bulletins de Sécurité de Septembre 2011 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné Index d’exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné

5 MS11-070 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-070 Une vulnérabilité dans WINS pourrait permettre une élévation des privilèges (2571621) Important Windows Server 2003 (Toutes les versions supportées) Windows Server 2008 SP2 32 bits Windows Server 2008 SP2 x64 bits Windows Server 2008 R2 x64 (Toutes les versions supportées)

6 MS11-070 : Une vulnérabilité dans WINS pourrait permettre une élévation des privilèges (2571621) - Important VulnérabilitéVulnérabilité d’élévation local de privilèges Vecteurs d'attaque possibles Un script malveillant spécialement conçu Une application malveillante spécialement conçue Des paquets spécialement conçus vers l'interface de loopback ImpactPour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourrait alors exécuter une application spécialement conçue qui pourrait exploiter cette vulnérabilité en envoyant des paquets spécialement conçus à l'interface de loopback, lui permettant ainsi de prendre le contrôle intégral du système affecté. Dans le contexte du système local sous Windows Server 2003 et dans le contexte du service local sous Windows Server 2008 et Windows Server 2008 R2 Facteurs atténuantsPour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Contournement Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

7 MS11-071 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-071 Une vulnérabilité dans les composants Windows pourrait permettre l'exécution de code à distance (2570947) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées Windows Server 2008 R2 (Toutes les versions supportées)

8 MS11-071 : Une vulnérabilité dans les composants Windows pourrait permettre l'exécution de code à distance (2570947) - Important VulnérabilitéVulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles Ouvrir un fichier légitime au format RTF (.rtf), au format texte (.txt) ou au format Word (.doc), situé dans le même répertoire réseau qu'un fichier DLL spécialement conçu. Lors de l'ouverture du fichier, le composant affecté pourrait alors tenter de charger le fichier DLL et d'exécuter le code qu'il contient. ImpactTout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsPour qu'une attaque aboutisse, un utilisateur doit parcourir l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier au format RTF (.rtf), un fichier texte (.txt) ou un document Word (.doc). Le protocole de partage de fichiers SMB (Server Message Block) est souvent désactivé sur le pare- feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. ContournementDésactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires Cette vulnérabilité a été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

9 MS11-072 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-072 Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (2587505) Important Excel 2003 SP3 Excel 2007 SP2 Excel 2010 RTM et SP1 (32 et 64 bits) Excel Viewer Pack de Compatibilité Office Office 2004 pour Mac Office 2008 pour Mac Office 2011 pour Mac Convertisseur Open XML pour Mac Excel Services SharePoint 2007 SP2 (3é et 64 bits) Excel Services SharePoint 2010 RTM et SP1 (32 et 64 bits)

10 MS11-072 : Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (2587505) - Important VulnérabilitéVulnérabilités d’exécution de code à distance Vecteurs d'attaque possibles Un fichier Excel malveillant spécialement conçu Mécanismes habituel d’échange : une page Web spécialement conçue, une pièce jointe, un message instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB ImpactTout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter des sites Web malveillant. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. ContournementDéfinir la validation de fichier Office pour désactiver l'ouverture des fichiers dont la validation échoue dans Excel 2003 et Excel 2007 Configurer la fonctionnalité de validation de fichier Office pour désactiver la modification en mode protégé des fichiers dont la validation échoue dans Excel 2010 Adopter la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable. N'ouvrez pas de fichiers Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue. Informations complémentaires Ces vulnérabilités n’ont pas été révélées publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

11 MS11-073 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-073 Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance (2587634) Important Office 2003 SP3 Office 2007 SP2 Office 2010 RTM et SP1 (32 et 64 bits)

12 MS11-073 : Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance (2587634) - Important VulnérabilitéVulnérabilités d’exécution de code à distance Vecteurs d'attaque possibles CVE-2011-1980 Un fichier Word malveillant spécialement conçu Mécanismes habituel d’échange : une page Web spécialement conçue, une pièce jointe, un message instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB CVE-2011-1982 Ouvrir un fichier légitime au format DOCX situé dans le même répertoire réseau qu'un fichier DLL spécialement conçu. Lors de l'ouverture du fichier, le composant affecté pourrait alors tenter de charger le fichier DLL et d'exécuter le code qu'il contient. ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsPour qu'une attaque aboutisse, un utilisateur doit parcourir l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier Office. Le protocole de partage de fichiers SMB (Server Message Block) est souvent désactivé sur le pare- feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter des sites Web malveillant.

13 MS11-073 - suite ContournementAdoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable. N'ouvrez pas de fichiers Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue. Désactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires La vulnérabilité CVE-2011-1980 a été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

14 MS11-074 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-074 Des vulnérabilités dans Microsoft SharePoint pourraient permettre une élévation de privilèges (2451858) Important Windows SharePoint Services 2.0 Windows SharePoint Services 3.0 SP2 (x86) and Windows SharePoint Services 3.0 SP2 (x64) Office SharePoint Server 2007 SP2 (x86) et Office SharePoint Server 2007 SP2 (x64) Office SharePoint Server 2010, SharePoint Workspace 2010, et SharePoint Foundation 2010 Groove 2007 Service Pack 2 Office Groove Server 2007 SP2 (32-bit) and Office Groove Server 2007 SP2 (64- bit) Office Groove Data Bridge Server 2007 SP2, Office Groove Management Server 2007 SP2, et Groove Server 2010 & SP1 Office Forms Server 2007 SP2 (32-bit) et Office Forms Server 2007 SP2 (64-bit) Microsoft Office Web Apps et Microsoft Word Web App

15 MS11-074 : Des vulnérabilités dans Microsoft SharePoint pourraient permettre une élévation de privilèges (2451858) - Important VulnérabilitéVulnérabilités d’élévation de privilèges et de divulgation d’informations Vecteurs d'attaque possibles Un lien malveillant spécialement conçu Une attaque de Cross-site scripting Une page web malveillante spécialement conçue Un courriel malveillant spécialement conçu Des fichiers XML et XSL spécialement conçus utilisés pour créer une Webpart XML malveillante ImpactUn attaquant pourrait lire du contenu qu'il n'est pas autorisé à lire, utiliser l'identité de la victime pour effectuer des opérations sur le site SharePoint en son nom, comme modifier les autorisations et supprimer du contenu, et injecter du contenu malveillant dans le navigateur de la victime. Un attaquant pourrait lancer des attaques de script inter-sites (cross-site scripting) contre les utilisateurs d'un site ciblé qui utilise SafeHTML pour nettoyer le code HTML. Un attaquant pourrait alors potentiellement exécuter le script au nom d'un utilisateur victime sur le site Un attaquant pourrait utiliser un script pour émettre des commandes SharePoint dans le contexte de l'utilisateur authentifié sur le site SharePoint ciblé. Un attaquant pourrait injecter un script permettant de pirater les informations d'authentification de l'utilisateur ou d'effectuer des opérations en son nom, comme modifier des autorisations et modifier ou supprimer du contenu, sur un site SharePoint ciblé. Un attaquant pourrait obtenir l'accès en lecture à des fichiers sur le système de fichiers du serveur SharePoint local avec les autorisations d'accès du compte IIS AppPool. Un attaquant pourrait renvoyer du contenu JavaScript malveillant au navigateur de l'utilisateur, ce qui lui permettrait de modifier le contenu de la page, de se livrer à du hameçonnage et d'exécuter des actions au nom de l'utilisateur.

16 MS11-074 - suite Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter des sites Web malveillant. Les utilisateurs d'Internet Explorer 8 et Internet Explorer 9 qui naviguent vers un site SharePoint dans la zone Internet sont moins exposés étant donné que, par défaut, le filtre XSS d'Internet Explorer 8 empêche cette attaque dans la zone Internet. Cependant, le filtre XSS dans Internet Explorer 8 et Internet Explorer 9 n'est pas activé par défaut dans la zone intranet. Un attaquant peut provoquer l'exécution arbitraire de JavaScript lorsque l'utilisateur dernier clique sur l'URL spécialement conçue, mais cet attaquant ne pourra pas subtiliser les informations d'authentification de l'utilisateur connecté en raison de la façon dont SharePoint Server traite le cookie d'authentification HttpOnly. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, l'utilisateur doit cliquer sur une URL spécialement conçue faisant partie du message. ContournementActiver le filtre XSS pour la zone de sécurité Intranet local d'Internet Explorer 8 et Internet Explorer 9 Microsoft n'a identifié aucune solution de contournement pour les vulnérabilités CVE-2011-1892 et CVE-2011-1252. Informations complémentaires La vulnérabilité CVE-2011-1252 a été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

17 Ré-édition

18 MS11-070 Oui MS11-071 MS11-072 NonOui MS11-073 NonOui MS11-074 NonOui Détection et déploiement 1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11, toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia64 2 – Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour Notre gamme complète de produits et services

19 Informations de mise à jour BulletinRedémarrage requisDésinstallationRemplace MS11-070 Oui MS11-035 MS11-071 PossibleOuiAucun MS11-072 Possible Oui (client) Non (serveur) MS10-017, MS11-045 MS11-073 PossibleOuiMS10-087, MS11-023 MS11-074 Possible Oui (client) Non (serveur) MS10-072, MS10-079, MS10-104, MS11-016, MS11-022

20 Septembre 2011 - Mises à jour Non relatives à la sécurité ArticleTitleDistribution KB2553018Update for Windows Server 2008 R2, Windows Server 2008, and Windows Server 2003 Install this update to get the latest fixes containing stability and performance improvements for Windows SharePoint Services 3.0 Catalog, AU, WSUS KB905866Update for Windows Mail Junk E-mail Filter The September 2011 release of the Windows Mail Junk E-mail Filter Catalog, AU, WSUS KB890830Windows Malicious Software Removal Tool The September 2011 release of the Windows Malicious Software Removal Tool Catalog, AU, WSUS Info: KB894199 Description of Software Update Services and Windows Server Update Services changes in content for 2011 http://support.microsoft.com/kb/894199

21 Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer :Win32/Bamital Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove http://www.microsoft.com/france/securite/malwareremove

22 Après le 11 octobre 2011 les produits ou Service Pack suivants ne sont plus supportés : Mobile Information Server 2001 Mobile Information Server 2001 Dynamics GP 10.0 Service Pack 3 Dynamics GP 10.0 Service Pack 3 Dynamics NAV 2009 RTM Dynamics NAV 2009 RTM Exchange Server 2010 RTM Exchange Server 2010 RTM SQL Server 2008 Service Pack 1 SQL Server 2008 Service Pack 1 Visio Entreprise Network Tools Visio Entreprise Network Tools Pour rappel…

23 Ressources Synthèse des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/ms11-sep.mspx http://www.microsoft.com/france/technet/security/bulletin/ms11-sep.mspx Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin http://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Avis de sécurité http://www.microsoft.com/france/technet/security/advisory http://www.microsoft.com/france/technet/security/advisory Abonnez-vous à la synthèse des Bulletins de sécurité (en français) http://www.microsoft.com/france/securite/newsletters.mspx http://www.microsoft.com/france/securite/newsletters.mspx Blog du MSRC (Microsoft Security Response Center) http://blogs.technet.com/msrc http://blogs.technet.com/msrc Microsoft France sécurité http://www.microsoft.com/france/securite http://www.microsoft.com/france/securite TechNet sécurité http://www.microsoft.com/france/technet/security http://www.microsoft.com/france/technet/security

24 Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNonLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNonLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNonLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NonUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NonTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NonTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENonMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NonUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NonUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NonUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NonUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES. WWW.MICROSOFT.COM/SECURITY