La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Table Ronde Bulletins de Sécurité

Présentations similaires


Présentation au sujet: "Table Ronde Bulletins de Sécurité"— Transcription de la présentation:

1 Table Ronde Bulletins de Sécurité
Mars 2015

2 Bulletins de Sécurité de Mars 2015
Avis de Sécurité Révisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference Ressources Nouveaux Critiques Importants 14 5 9 Nouveau 1 Bulletin Avis 1 New Critical Important 10 4 6

3 Synthèse de la publication des Bulletins de Sécurité de Mars 2015
Impact Composant Sévérité Indice Exploitabilité Public Exploitation MS15-018 Exécution de code à distance IE Critique Oui MS15-019 VBScript 1 Non MS15-020 Windows 2 MS15-021 Font Driver MS15-022 Office MS15-023 Elévation de Privilège KMD Important MS15-024 Divulgation d’information PNG 3 MS15-025 Kernel MS15-026 Exchange Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel

4 Synthèse de la publication des Bulletins de Sécurité de Février 2015
Impact Composant Sévérité Indice Exploitabilité Public Exploitation MS15-027 Usurpation NETLOGON Important 2 Non MS15-028 Contournement de fonctionnalité de sécurité Task Scheduler MS15-029 Divulgation d’information Photo Decoder MS15-030 Déni de Service RDP 3 MS15-031 SChannel 1 Oui Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel

5 MS15-018 Mise à jour de sécurité cumulative pour Internet Explorer (3032359)
Sévérité CRITIQUE Impact RCE Index Exploitabilité Divulgation OUI Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et onze vulnérabilités signalées à titre privé dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l'aide d'Internet Explorer. La mise à jour de sécurité résout les vulnérabilités en modifiant la manière dont Internet Explorer gère les objets en mémoire, en modifiant la façon dont le moteur de script VBScript traite les objets en mémoire, en veillant à ce que les stratégies inter-domaines soient correctement appliquées dans Internet Explorer et en ajoutant des validations d'autorisations supplémentaires à Internet Explorer. Résumé Logiciels concernés Toutes les versions supportées d’Internet Explorer sur toutes les versions supportées de Windows Addresse le contournement ‘Universal XSS’ Same Origin Policy bypass . Il peut être nécessaire d’installer plusieurs packages associés à ce bulletin si vous déployez les mises à jour manuellement. Plus d’Information Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 5

6 MS15-018 Mise à jour de sécurité cumulative pour Internet Explorer (3032359)
CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité Multiple Critique Exécution de code à distance 1 NA Non CVE 2 Oui CVE CVE Important Elévation de Privilège CVE L'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait convaincre l'utilisateur de le faire, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène au site web de l'attaquant, ou en l'incitant à ouvrir une pièce jointe envoyée par message électronique. CVE corruption de mémoire – Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel. L'EMET contribue à l'atténuation de ces vulnérabilités dans Internet Explorer sur les systèmes où il est installé et est configuré pour fonctionner avec Internet Explorer. Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités. Facteurs atténuants Contournements Un attaquant pourrait héberger un site web spécialement conçu pour exploiter ces vulnérabilités via Internet Explorer, puis inciter un utilisateur à consulter ce site. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs, qui pourraient contenir du code spécialement conçu susceptible d'exploiter ces vulnérabilités. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

7 MS Une vulnérabilité dans le moteur de script VBScript pourrait permettre l'exécution de code à distance ( ) Sévérité CRITIQUE Impact RCE Index Exploitabilité 1 Divulgation NON Cette mise à jour de sécurité corrige une vulnérabilité dans le moteur de script VBScript dans Microsoft Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur visitait un site web spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le moteur de script VBScript traite les objets en mémoire. Résumé Logiciels concernés Windows Vista, Windows Server 2003, Windows Server 2008 Plus d’Information Les mises à jour disponibles avec ce bulletin sont pour les systèmes sans Internet Explorer installé, ou avec une version Internet Explorer 8 ou inférieure. Pour Internet Explorer 9 et supérieur appliquez MS Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 7

8 Exécution de code à distance
MS Une vulnérabilité dans le moteur de script VBScript pourrait permettre l'exécution de code à distance ( ) CVE Sévérité Impact XI Dernière Version XI Version Antérieure XI DOS Public Exploité Avis de Sécurité CVE Critique Exécution de code à distance NA 1 Non Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités. Facteurs atténuants Contournements Un attaquant pourrait héberger un site web spécialement conçu pour exploiter ces vulnérabilités via Internet Explorer, puis inciter un utilisateur à consulter ce site. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs, qui pourraient contenir du code spécialement conçu susceptible d'exploiter ces vulnérabilités. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A- Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

9 MS Des vulnérabilités dans Microsoft Windows pourraient permettre l'exécution de code à distance ( ) Sévérité CRITIQUE Impact RCE Index Exploitabilité 2 Divulgation NON Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant parvenait à convaincre un utilisateur d'accéder à un site web spécialement conçu, d'ouvrir un fichier spécialement conçu ou d'ouvrir un fichier dans un répertoire de travail qui contient un fichier DLL spécialement conçu. Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la façon dont les services de texte Microsoft traitent les objets en mémoire et dont Microsoft Windows traite le chargement des fichiers DLL. Résumé Logiciels concernés Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2. Plus d’Information Ces mises à jour sont disponibles pour Windows Technical Preview et Windows Server Technical Preview. Les clients exécutant ces systèmes d'exploitation sont invités à appliquer ces mises à jour qui sont disponibles via Windows Update. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 9

10 Exécution de code à distance
MS Des vulnérabilités dans Microsoft Windows pourraient permettre l'exécution de code à distance ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Critique Exécution de code à distance 2 NA Non CVE Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. CVE : Désactiver l'affichage d'icônes pour les raccourcis. La désactivation du service WebClient permet de protéger les systèmes affectés des tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus courant via le service client WebDAV (Web Distributed Authoring and Versioning). CVE : Pas de contournement identifié. Facteurs atténuants Contournements Pour exploiter cette vulnérabilité, un attaquant doit convaincre un utilisateur d'accéder à un site web spécialement conçu ou d'ouvrir un fichier spécialement conçu. Il peut aussi convaincre un utilisateur d’ouvrir un fichier situé dans le même répertoire de travail qu'un fichier DLL spécialement conçu. Le fichier DLL spécialement conçu est ensuite chargé dans la mémoire, donnant ainsi à l'attaquant le contrôle du système affecté dans le contexte de sécurité de l'utilisateur connecté. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

11 MS Des vulnérabilités liées au pilote traitant les polices Adobe pourraient permettre l'exécution de code à distance ( ) Sévérité CRITIQUE Impact RCE Index Exploitabilité 2 Divulgation NON Cette mise à jour de sécurité corrige 8 vulnérabilités dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur consultait un fichier ou un site web spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. La mise à jour de sécurité corrige cette vulnérabilité en rectifiant la manière dont l'analyseur de police affecte de la mémoire et en rectifiant la manière dont les objets en mémoire sont traités. Résumé Logiciels concernés Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2. Ces mises à jour sont disponibles pour Windows Technical Preview et Windows Server Technical Preview. Les clients exécutant ces systèmes d'exploitation sont invités à appliquer ces mises à jour qui sont disponibles via Windows Update. Plus d’Information Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 11

12 MS Des vulnérabilités liées au pilote traitant les polices Adobe pourraient permettre l'exécution de code à distance ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Critique Exécution de code à distance 2 P Non CVE CVE 3 CVE CVE CVE Important Divulgation d’Information CVE * CVE Modéré Déni de Service Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités. Facteurs atténuants Contournements Ces vulnérabilités dans le pilote traitant les polices Adobe pourrait permettre l'exécution de code à distance si un utilisateur consultait un fichier ou un site web spécialement conçu. Ces vulnérabilités sont dues à la manière dont sont traités les objets en mémoire. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

13 MS Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance ( ) Sévérité CRITIQUE Impact RCE Index Exploitabilité 1 Divulgation NON Cette mise à jour de sécurité corrige 5 vulnérabilités dans Microsoft Office. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Cette mise à jour de sécurité corrige les vulnérabilités en rectifiant la manière dont Microsoft Office analyse les fichiers spécialement conçus, en rectifiant la manière dont Office traite les fichiers en mémoire et en faisant en sorte que SharePoint Server nettoie correctement les entrées utilisateur. Résumé Logiciels concernés Office 2007, Office 2010, Office 2013, Office 2013 RT, Word Viewer, Excel Viewer, Office Compatibility Pack, SharePoint 2007, SharePoint 2010, SharePoint 2013, Word Automation Services, Excel Services, Office Web Apps 2010, Office Web Apps Server 2013 Plus d’Information Il ya beaucoup de mises à jour différentes associées à ce bulletin, dû au nombre de produits Office affectés. Suivant la configuration, plusieurs mises à jour peuvent être applicables à votre environnement. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 13

14 MS Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Critique Exécution de code à distance 1 NA Non CVE Important CVE 2 CVE Elévation de Privilège CVE L'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. L'attaquant devrait convaincre les utilisateurs d'exécuter une action. Par exemple, l'attaquant pourrait inciter l'utilisateur à cliquer sur un lien qui mène à son site. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur. SharePoint XSS - Désactivation ou changement de nom de comptes utilisateurs ayant des noms d'utilisateur suspects CVE Configuration d'une entrée de Registre pour empêcher le contrôle ActiveX ADODB.RecordSet d'être exécuté dans Internet Explorer Facteurs atténuants Contournements Office : L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée d'un logiciel Microsoft Office. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui- ci d'ouvrir le fichier. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. SharePoint XSS - Un attaquant authentifié pourrait exploiter ces vulnérabilités en envoyant une requête spécialement conçue à un serveur SharePoint affecté. L'attaquant qui parvient à exploiter ces vulnérabilités pourrait ensuite effectuer des attaques de scripts de site à site sur des systèmes touchés et exécuter du script dans le contexte de sécurité de l'utilisateur actuel. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

15 MS Des vulnérabilités dans le pilote en mode noyau pourraient permettre une élévation de privilèges ( ) Sévérité IMPORTANT Impact EOP Index Exploitabilité 2 Divulgation NON Cette mise à jour de sécurité corrige 4 vulnérabilités dans Microsoft Windows. La plus grave des vulnérabilités pourrait permettre l'élévation de privilèges si un attaquant ouvrait une session sur le système et exécutait une application spécialement conçue destinée à augmenter les privilèges. Cette mise à jour de sécurité résout les vulnérabilités en modifiant la façon dont le pilote en mode noyau traite les objets en mémoire et en corrigeant la façon dont il valide le jeton d'un thread appelant. Résumé Logiciels concernés Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2 Ces mises à jour sont disponibles pour Windows Technical Preview et Windows Server Technical Preview. Les clients exécutant ces systèmes d'exploitation sont invités à appliquer ces mises à jour qui sont disponibles via Windows Update. Plus d’Information Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 15

16 MS Des vulnérabilités dans le pilote en mode noyau pourraient permettre une élévation de privilèges ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Elévation de Privilège 2 NA Non CVE Divulgation d’Information CVE CVE 3 P Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Facteurs atténuants Contournements Un attaquant ouvre une session sur le système et exécute une application spécialement conçue destinée à augmenter les privilèges. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

17 MS Une vulnérabilité dans le traitement d'images PNG pourrait permettre la divulgation d'informations ( ) Sévérité IMPORTANT Impact ID Index Exploitabilité 3 Divulgation NON Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre la divulgation d'informations si un attaquant persuadait un utilisateur de visiter un site web contenant des images PNG spécialement conçues. La mise à jour de sécurité résout la vulnérabilité en corrigeant la manière dont Windows traite les fichiers de format d'image PNG. Résumé Logiciels concernés Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2 Plus d’Information Aucun Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 17

18 Divulgation d’Information
MS Une vulnérabilité dans le traitement d'images PNG pourrait permettre la divulgation d'informations ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Divulgation d’Information 3 NA Non Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter un site web. Il devrait l'y attirer, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui renvoie l'utilisateur vers le site web de l'attaquant. Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Facteurs atténuants Contournements Un attaquant pourrait héberger un site web spécialement conçu pour exploiter ces vulnérabilités, puis inciter un utilisateur à consulter ce site. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs, qui pourraient contenir du code spécialement conçu susceptible d'exploiter ces vulnérabilités. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire des données ne devant pas être révélées. Notez que cette vulnérabilité ne permet pas à un attaquant d'exécuter un code ou d'élever directement ses privilèges, mais elle pourrait servir à obtenir des informations susceptibles de donner à l'attaquant les moyens de compromettre davantage le système affecté. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

19 MS Des vulnérabilités dans le noyau de Windows pourraient permettre l'élévation de privilèges ( ) Sévérité IMPORTANT Impact EOP Index Exploitabilité 2 Divulgation NON Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. La plus grave des vulnérabilités pourrait permettre l'élévation de privilèges si un attaquant ouvrait une session sur un système affecté et exécutait une application spécialement conçue. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait exécuter du code arbitraire dans le contexte de sécurité du compte d'un autre utilisateur connecté au système affecté. Cette mise à jour de sécurité résout les vulnérabilités en corrigeant la façon dont la virtualisation du Registre Windows gère le magasin virtuel d'autres utilisateurs et la façon dont Windows valide les niveaux d'emprunt d'identité. Résumé Logiciels concernés Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2 Plus d’Information La mise à jour pour Windows 7 et Windows Server 2008 R2 contient en partie les mêmes fichiers binaires affectés que la mise à jour publiée simultanément via le Bulletin de sécurité En cas d’installation manuelle, nous recommandons d’installer d’abord , puis , bien que ce ne soit pas une obligation. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 19

20 Elévation de Privilège
MS Des vulnérabilités dans le noyau de Windows pourraient permettre l'élévation de privilèges ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Elévation de Privilège 2 NA Non CVE CVE •Seuls les processus qui utilisent la virtualisation du Registre sont affectés par cette vulnérabilité. ◾Processus interactifs 32 bits ◾Clés dans HKEY_LOCAL_MACHINE\Software ◾Clés dans lesquelles un administrateur peut écrire. CVE Désactiver la virtualisation du Registre Utilisation d'une stratégie de groupe : Le paramètre de stratégie Contrôle de compte d'utilisateur : virtualiser les échecs d'écritures de fichiers et de Registre dans des emplacements définis par utilisateur contrôle si des échecs d'écriture d'application sont redirigés dans des emplacements définis du Registre et du système de fichiers. Ce paramètre de stratégie réduit les applications qui s'exécutent en tant qu'administrateur et qui écrivent des données d'application au moment de l'exécution dans %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. Facteurs atténuants Contournements Pour exploiter cette vulnérabilité, un attaquant devrait d'abord ouvrir une session sur le système. Un attaquant pourrait alors exécuter une application spécialement conçue qui pourrait exploiter la vulnérabilité et prendre le contrôle du compte d'un autre utilisateur connecté au système affecté. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

21 MS Des vulnérabilités dans Microsoft Exchange Server pourraient permettre l'élévation de privilèges ( ) Sévérité IMPORTANT Impact EOP Index Exploitabilité 2 Divulgation NON Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Exchange Server. Les vulnérabilités les plus graves pourraient permettre l'élévation de privilèges si un utilisateur cliquait sur une URL spécialement conçue menant l'utilisateur vers un site Outlook Web App ciblé. Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la façon dont Exchange Server nettoie le contenu de page dans Outlook Web App et en modifiant la façon dont Exchange valide l'authenticité de l'organisateur de réunion lors de l'acceptation, de la planification ou de la modification des demandes de réunion dans des calendriers Exchange. Résumé Logiciels concernés Microsoft Exchange Server 2013 SP1, Exchange Server 2013 Cumulative Update 7 Plus d’Information Non Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 21

22 MS Des vulnérabilités dans Microsoft Exchange Server pourraient permettre l'élévation de privilèges ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Elevation de Privileges 2 NA Non CVE Elevation of Privileges CVE CVE CVE Usurpation d’Identité Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site web spécialement conçu. Un attaquant devrait les convaincre de visiter ce site web, généralement en les incitant à cliquer sur un lien dans un message instantané ou un message électronique menant à son site, puis de cliquer sur l'URL spécialement conçue. CVE Utiliser un pare-feu d'application web (WAF) pour bloquer les demandes vers <host>/owa/?ae=Item&t=AD.RecipientType.User&id=<ID> où le cookie « X-OWA-Canary » contient un guillemet double ("), une balise HTML ou une fonction JavaScript. CVE Utiliser un pare-feu d'application web (WAF) pour bloquer les demandes vers <host>/errorfe.aspx?httpCode=500&ts= &be=DB4P R07MB0703&authError=LiveConfigurationHRESULTException&msg=Gene ricAuthErrorMessage&msgParam=<param> où le paramètre de requête « msgParam » contient un URI javascript. Facteurs atténuants Contournements A l’exception de la CVE , un attaquant pourrait exploiter ces vulnérabilités en modifiant certaines propriétés dans Outlook Web App, puis en persuadant les utilisateurs d'accéder au site Outlook Web App ciblé. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter un script dans le contexte de l'utilisateur actuel. CVE : Il existe une vulnérabilité d'usurpation de contenu dans Exchange Server lorsque Exchange ne parvient pas à valider correctement l'identité de l'organisateur de réunion lors de l'acceptation ou de la modification de demandes de réunion. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait alors l'utiliser pour planifier ou modifier des réunions alors qu'elles proviennent d'un organisateur de réunion légitime Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

23 MS15-027 Une vulnérabilité dans NETLOGON pourrait permettre une usurpation de contenu (3002657)
Sévérité IMPORTANT Impact USURPATION Index Exploitabilité 2 Divulgation NON Cette vulnérabilité pourrait permettre l'usurpation de contenu si un attaquant qui a ouvert une session sur un système associé à un domaine exécute une application spécialement conçue qui pourrait établir une connexion avec d'autres systèmes associés à un domaine en tant que système ou utilisateur représenté. L'attaquant doit avoir ouvert une session sur un système associé à un domaine et être en mesure d'observer le trafic réseau. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont Netlogon se charge de l'établissement des canaux sécurisés. Résumé Logiciels concernés Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2 Plus d’Information Non Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 23

24 Usurpation d’Identité
MS Une vulnérabilité dans NETLOGON pourrait permettre une usurpation de contenu ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Usurpation d’Identité 2 NA Non Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Facteurs atténuants Contournements Pour réussir à exploiter cette vulnérabilité, un attaquant devrait d'abord ouvrir une session sur un système associé à un domaine et être en mesure d'observer le trafic réseau. Un attaquant pourrait alors exécuter une application spécialement conçue qui pourrait établir une connexion sur canal sécurisé appartenant à un autre ordinateur. Un attaquant peut être en mesure d'utiliser le canal sécurisé établi pour obtenir les informations relatives aux sessions pour le canal sécurisé réel de l'ordinateur usurpé. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

25 MS Une vulnérabilité dans le Planificateur de tâches de Windows pourrait permettre un contournement de la fonctionnalité de sécurité ( ) Sévérité IMPORTANT Impact SFB Index Exploitabilité 2 Divulgation NON Cette vulnérabilité pourrait permettre à un utilisateur bénéficiant de privilèges limités sur un système affecté d'exploiter le Planificateur de tâches afin d'exécuter des fichiers qu'il n'est pas autorisé à exécuter. Un attaquant parvenant à exploiter cette vulnérabilité pourrait contourner les vérifications de la liste de contrôle d'accès (ACL) et exécuter des fichiers exécutables privilégiés. La mise à jour de sécurité résout la vulnérabilité en corrigeant la manière dont le Planificateur de tâches valide les niveaux d'emprunt d'identité. Résumé Logiciels concernés Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2 Plus d’Information Non Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 25

26 Contournement de Fonctionnalité de Sécurité
MS Une vulnérabilité dans le Planificateur de tâches de Windows pourrait permettre un contournement de la fonctionnalité de sécurité ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Contournement de Fonctionnalité de Sécurité 2 NA Non Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Désactiver le service du planificateur de tâches. Pour plus d’informations, voir l’article Technet Configurer le démarrage d'un service Facteurs atténuants Contournements Il existe une vulnérabilité liée au contournement de la fonctionnalité de sécurité lorsque le Planificateur de tâches de Windows ne parvient pas à valider correctement et à appliquer les niveaux d'emprunt d'identité. Cette vulnérabilité pourrait permettre à un utilisateur bénéficiant de privilèges limités sur un système affecté d'exploiter le Planificateur de tâches afin d'exécuter des fichiers qu'il n'est pas autorisé à exécuter. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

27 MS Une vulnérabilité dans le composant du décodeur photo de Windows pourrait permettre la divulgation d'informations ( ) Sévérité IMPORTANT Impact ID Index Exploitabilité 2 Divulgation NON Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. La vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur accédait à un site web comportant une image JPEG XR (.JXR) spécialement conçue. La mise à jour de sécurité résout la vulnérabilité en corrigeant la manière dont Windows traite les fichiers de format d'image JPEG XR. Résumé Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2 Logiciels concernés Plus d’Information Non Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 27

28 Divulgation d’Informations
MS Une vulnérabilité dans le composant du décodeur photo de Windows pourrait permettre la divulgation d'informations ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Divulgation d’Informations 2 NA Non L’attaquer devrait attirer l’utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui renvoie l'utilisateur vers le site web de l'attaquant. Il pourrait également afficher du contenu web spécialement conçu via des bannières publicitaires ou d'autres moyens afin d'envoyer du contenu web aux systèmes affectés. Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Facteurs atténuants Contournements Pour exploiter cette vulnérabilité, un attaquant pourrait héberger un site web spécialement conçu (ou exploiter un site web compromis, ou un site qui accepte ou héberge du contenu ou des publicités provenant d'utilisateurs), puis inciter un utilisateur à consulter ce site web. Il pourrait également afficher du contenu web spécialement conçu via des bannières publicitaires ou d'autres moyens afin d'envoyer du contenu web aux systèmes affectés. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

29 MS Une vulnérabilité dans le protocole RDP (Remote Desktop Protocol) pourrait permettre un déni de service ( ) Sévérité IMPORTANT Impact DOS 3 Divulgation NON Index Exploitabilité Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant créait plusieurs sessions RDP (Remote Desktop Protocol) libérant de manière incorrecte les objets en mémoire. Par défaut, le protocole RDP n'est activé sur aucun système d'exploitation Windows. Les systèmes qui n'ont pas activé le protocole RDP ne sont pas exposés. Résumé Logiciels concernés Windows 7, Windows 8, Windows 8.1, Windows Server 2012 , Windows Server 2012 R2 Plus d’Information Les éditions Entreprise et Intégrale Windows 7 sont affectées. Toutes les éditions prises en charge de Windows 7 sont affectées si RDP 8.0 (KB ) est installé sur le système. Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 29

30 MS Une vulnérabilité dans le protocole RDP (Remote Desktop Protocol) pourrait permettre un déni de service ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Déni de Service 3 NA Non Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité. Pour désactiver le protocole RDP à l'aide de la stratégie de groupe Ouvrez la stratégie de groupe. Dans Configuration de l'ordinateur, Modèles d'administration, Composants Windows, Services Terminal Server, double-cliquez sur le paramètre Autoriser les utilisateurs à se connecter à distance avec les services Terminal Server. Effectuez l'une des opérations suivantes : Pour activer le Bureau à distance, cliquez sur Activé. Pour désactiver le Bureau à distance, cliquez sur Désactivé. Facteurs atténuants Contournements Un attaquant non authentifié pourrait utiliser cette vulnérabilité afin d'épuiser la mémoire système en créant plusieurs sessions RDP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait empêcher le système cible de répondre. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

31 MS Une vulnérabilité dans Schannel pourrait permettre un contournement de la fonctionnalité de sécurité ( ) Sévérité IMPORTANT Impact SFB Index Exploitabilité 1 Divulgation OUI Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows qui facilite l'exploitation de la technique FREAK signalée publiquement, un problème touchant tout le secteur qui n'est pas spécifique aux systèmes d'exploitation Windows. La vulnérabilité peut permettre à un attaquant qui pratique une attaque d'interception de forcer la réduction de la longueur d'une clé RSA à la longueur de niveau EXPORT dans une connexion TLS. Tout système Windows qui utilise Schannel pour se connecter à un serveur TLS distant avec une suite de chiffrement non sécurisée est affecté. Résumé Logiciel concerné Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2. Plus d’Information Cette mise à jour de sécurité concerne la vulnérabilité décrite initialement dans l'Avis de Sécurité Microsoft Index d’Exploitabilité : 0 – Exploitation détectée| 1 - Possibilité de code d’exploitation fonctionnel| 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel 31

32 Contournement de fonctionnalité de sécurité
MS Une vulnérabilité dans Schannel pourrait permettre un contournement de la fonctionnalité de sécurité ( ) CVE Sévérité Impact XI Dernière Version XI Version antérieure XI DOS Public Exploité Avis de Sécurité CVE Important Contournement de fonctionnalité de sécurité 1 NA Oui Non SA Un serveur doit prendre en charge les chiffrements EXPORT d'échange de clés RSA pour qu'une attaque réussisse. Les chiffrements sont désactivés dans les configurations par défaut de Windows Vista/Server 2008 et des systèmes d'exploitation ultérieurs. Désactivez les chiffrements d'échange de clés RSA à l'aide de l'éditeur d'objets de stratégie de groupe (Windows Vista et systèmes ultérieurs uniquement) Facteurs atténuants Contournements Au cours d'une attaque d'interception, un attaquant peut forcer la réduction de la longueur d'une clé RSA à la longueur de niveau EXPORT dans une session TLS chiffrée. L'attaquant peut alors intercepter et déchiffrer ce trafic. Tout système Windows se connectant à un serveur TLS en tant que client est affecté. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait pratiquer des attaques d'interception qui peuvent déchiffrer le trafic chiffré. Vecteurs d’attaque Index d’Exploitabilité : 0 – Exploitation détectée | 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice | DoS : T = Temporaire | P = Permanent

33 Mettre à jour immédiatement
Avis de sécurité – Disponibilité de la prise en charge de la signature de code SHA-2 pour Windows 7 et Windows Server 2008 R Résumé SHA-2 Support pour Win7 Microsoft annonce la réédition d'une mise à jour pour toutes les éditions prises en charge de Windows 7 et Windows Server 2008 R2 afin d'ajouter la prise en charge de la fonctionnalité de signature et de vérification SHA-2. Cette mise à jour remplace la mise à jour annulée du 17 octobre 2014 pour résoudre des problèmes rencontrés par certains clients après l'installation . Actions suggérées Mettre à jour immédiatement La majorité des clients a activé les mises à jour automatiques et n’aura pas besoin de réaliser des actions car la mise à jour sera automatiquement téléchargée et installée. Les clients qui n’ont pas activé les mises à jour automatiques devront vérifier la disponibilité des mises à jour et installer celle-ci manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, voir l'article de la Base de connaissances Microsoft. Plus d’informations KB La mise à jour contient en partie les mêmes fichiers binaires affectés que la mise à jour publiée simultanément via le Bulletin de sécurité MS Les clients qui téléchargent et installent des mises à jour manuellement et qui prévoient d'installer les deux mises à jour doivent installer la mise à jour avant la mise à jour Microsoft Knowledge Base Article

34 Mise à jour du bulletin de sécurité – Adobe Flash Player SA2755801
Qu’est-ce qui a changé ? Nouvelle version de Flash Le 10 mars 2015, Microsoft a publié une mise à jour ( ) pour Internet Explorer 10 sur Windows 8, Windows Server 2012 et Windows RT, ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour corrige les vulnérabilités décrites dans le Bulletin de sécurité d'Adobe APSB Pour plus d'informations sur cette mise à jour, consultez l'Article de la Base de connaissances Microsoft. Actions suggérées Mettre à jour immédiatement Microsoft recommande à ses clients d'appliquer immédiatement la mise à jour actuelle à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Puisqu'il s'agit d'une mise à jour cumulative, seule la mise à jour actuelle sera proposée. Les clients n'ont pas besoin d'installer les mises à jour précédentes avant d'installer la mise à jour actuelle. Plus d’informations KB

35 Famille de produit et Service Packs qui atteignent la fin de support
Pas de produit passant en phase d’extension de support ce mois-ci Service Packs Pas de Service Pack en fin de support Plus d’informations

36 Annexes

37 Détection et Déploiement
1. Les systèmes Windows RT prennent uniquement en charge la détection et le déploiement via Windows Update, Microsoft Update et le Windows Store.

38 Détection et Déploiement
1. Les systèmes Windows RT prennent uniquement en charge la détection et le déploiement via Windows Update, Microsoft Update et le Windows Store.

39 Autres Informations de Mises à jour
Other Update Information 1. A l’exception de SharePoint 2010 Word Automation Services et Office Web Apps 2010

40 Autres Informations de Mises à jour
Other Update Information

41 Ressources Antimalware
Outil de suppression de logiciels malveillants Win32/Alinaos – Trojan pouvant effectuer plusieurs types d’actions malicieuses. Win32/CompromisedCert - application connue sous le nom de “Superfish” qui installe un certificate racine de confiance pour lequel la clé privée est connue. Ceci peut rendre un PC vulnérable aux attaques de spoofing SSL/TLS. Cela peut également permettre à un hacker d’installer des binaires signés en lesquels le PC infecté à confiance. Autres outils de suppression de logiciels malveillants Microsoft Safety Scanner Même moteur que MSRT, mais avec jeu de signatures A/V complet Windows Defender Offline Outil A/V bootable hors ligne avec jeu de signatures complet. Conçu pour supprimer les rootkits et autres malwares qui ne sont pas toujours détectés par les programmes anti-malware. Requiert le téléchargement d’un fichier ISO à graver sur CD, DVD ou clé USB.

42 Liens vers les ressources publiques des bulletins de sécurité
Microsoft Security Bulletin Summary for March Security Bulletin Search Security Advisories Microsoft Technical Security Notifications Detailed Bulletin Information Spreadsheet Security Tools for IT Pros KB Description of Software Update Services and Windows Server Update Services changes in content The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software

43 Problèmes connus MS15-022 Office, MS15-023 KMD, MS15-031 Schannel
Office – Corrige ‘Cannot insert object’ causé par MS Plus de détails dans KB KMD – KB corrige les dégradations de texte causées par MS Plus de détails dans KB Schannel – Si vous avez appliqué le contournement documenté dans l’avis de sécurité , certains services internet peuvent ne plus marcher. Pour éviter ce problème, désactivez le contournement avant d’installer cette mise à jour de sécurité. Plus de détails dans KB

44 Problèmes connus MS15-027 NETLOGON
NETLOGON – Après avoir installé cette mise à jour de sécurité, vous ne pouvez plus accéder aux données sur les clusters EMC Isilon. Cause: Lorsque la mise à jour MS est installée sur un serveur Active Directory qui authentifie des utilisateurs et services qui accèdent à un cluster EMC Isilon et lorsque NTLM est utilisé pour authentifier ces utilisateurs et services. Contournement : Utilisez le protocole Kerberos Plus d’Information: Technical and Security Advisories for Isilon OneFS. Voir également KB


Télécharger ppt "Table Ronde Bulletins de Sécurité"

Présentations similaires


Annonces Google