Bulletins de Sécurité Microsoft Mars 2011 Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager.

Présentation au sujet: "Bulletins de Sécurité Microsoft Mars 2011 Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager."— Transcription de la présentation:

1 Bulletins de Sécurité Microsoft Mars 2011 Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager

2 Bienvenue ! Présentation des bulletins de Mars 2011 3 Nouveaux bulletins de Sécurité 1 Critique 2 Important Mises à jour non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)

3 Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R : 2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

4 Bulletins de Sécurité de Mars 2011 MS11-015 2510030 Critique Microsoft Windows Windows Media MS11-016 2494047 Important Microsoft Office 2007 Microsoft Groove 2007 MS11-017 2508062 Important Microsoft Windows Client Bureau à Distance

5 MS11-015 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-015 Des vulnérabilités dans Windows Media pourraient permettre l'exécution de code à distance (2510030) Critique Windows XP Media Center Edition 2005 SP3 Windows XP (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 pour systèmes x64 & SP1 Media Center TV Pack pour Windows Vista SP1 & SP2 et Windows Vista x64 SP1 & SP2 Cette mise à jour de sécurité concerne également la vulnérabilité décrite dans l'Avis de sécurité Microsoft 2269637.

6 MS11-015 : Des vulnérabilités dans Windows Media pourraient permettre l'exécution de code à distance (2510030) - Critique VulnérabilitéVulnérabilités d'exécution de code à distance Vecteurs d'attaque possibles Un fichier.dvr-ms spécialement conçu Un fichier DLL malveillant spécialement conçu Un fichier légitime WMP situé dans le même répertoire que le fichier DLL spécialement conçu ImpactTout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Facteurs atténuantsPour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier multimédia (par exemple un fichier.wtv,.drv-ms ou.mpg). Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare- feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, un attaquant devrait persuader un utilisateur d'ouvrir le fichier. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. ContournementDésactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Limiter l'accès au Stream Buffer Engine (SBE.dll) - CVE-2011-0042 Informations complémentaires La CVE-2011-0032 a été révélée publiquement. L’autre vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin À la publication de ce bulletin, aucune vulnérabilité n’est exploitée sur internet. Nous n'avons pas connaissance d'attaques ou de code d'exploitation pour les autres vulnérabilités.

7 MS11-016 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-016 Une vulnérabilité dans Microsoft Groove pourrait permettre l'exécution de code à distance (2494047) Important Microsoft Groove 2007 Service Pack 2 Cette mise à jour de sécurité concerne également la vulnérabilité décrite dans l'Avis de sécurité Microsoft 2269637.

8 MS11-016 : Une vulnérabilité dans Microsoft Groove pourrait permettre l'exécution de code à distance (2494047) - Important VulnérabilitéVulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles Un fichier légitime Groove (.vcg or.gta) situé dans le même répertoire qu’un fichier DLL spécialement conçu Un fichier DLL malveillant spécialement conçu ImpactTout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsPour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier Groove (par exemple un fichier.vcg ou.gta). Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté ContournementDésactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires Cette vulnérabilité a été révélée publiquement avant la publication de ce bulletin À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

9 MS11-017 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-017 Une vulnérabilité dans le client Bureau à distance pourrait permettre l'exécution de code à distance (2508062) Important Client Remote Desktop Connection 5.2 (WinXP x86 seulement) Client Remote Desktop Connection 6.0 et 6.1 Client Remote Desktop Connection 7.0 Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 pour systèmes 32-bit et x64 Windows Server 2008 R2 pour système x64 et Windows Server 2008 R2 pour système Itanium Note: Windows Server 2008 R2 et Windows 7 Service Pack 1 ne sont pas affectés Cette mise à jour de sécurité concerne également la vulnérabilité décrite dans l'Avis de sécurité Microsoft 2269637.

10 MS11-017 : Une vulnérabilité dans le client Bureau à distance pourrait permettre l'exécution de code à distance (2508062) - Important VulnérabilitéVulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles Un fichier de configuration Bureau à distance (.rdp) légitime situé dans le même dossier réseau qu'un fichier de bibliothèque spécialement conçu. Un fichier DLL malveillant spécialement conçu ImpactIl existe une vulnérabilité d'exécution de code à distance dans la façon dont le client Bureau à distance Windows traite le chargement des fichiers DLL. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsPour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier.rdp. Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. ContournementDésactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

11 BulletinWindows Update Microsoft Update MBSA 2.1WSUS 3.0SMS avec Feature Pack SUS SMS avec Outil d'inventaire des mises à jour SCCM 2007 MS11-015 OuiOuiOuiOui Oui 1 OuiOui MS11-016 Non 2 OuiOuiOui Non 1 OuiOui MS11-017 OuiOuiOuiOui Oui 1 OuiOui 1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11, toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia64 2 – Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour notre gamme complète de produits et services Détection et déploiement

12 Informations de mise à jour BulletinRedémarrage requisDésinstallationRemplace MS11-015PossibleOuiAucun MS11-016PossibleOuiAucun MS11-017PossibleOuiAucun

13 Mars 2011 - Mises à jour non relatives à la sécurité ArticleTitleDistribution KB976932 Windows Server 2008 R2 and Windows 7 Service Pack 1 Documentation on “Notable Changes” and on “Hotfixes and Security Updates” included in for Windows 7 and Windows Server 2008 R2 Service Pack 1: http://go.microsoft.com/fwlink/?LinkId=194725 Windows Service Pack Blocker Tool Kit Available Catalog, WSUS KB2505438 Update for Windows Embedded Standard 7, Windows 7, and Windows Server 2008 R2 Install this update to resolve issues in Windows. Catalog, AU, WSUS KB905866 Update for Windows Mail Junk E-mail Filter The March 2011 release of the Windows Mail Junk E-mail Filter Catalog, AU, WSUS KB890830 Windows Malicious Software Removal Tool The March 2011 release of the Windows Malicious Software Removal Tool Catalog, AU, WSUS Les bulletins MS11-003, MS11-004, MS11-007, MS11-009 ont été révisés afin de prendre en compte Windows Server 2008 R2 et Windows 7 Service Pack 1 Les clients ayant déjà appliqués ces mises à jour de sécurité sur les versions RTM de Windows 7 ou Windows Server 2008 R2 n’ont pas d’action à entreprendre L’installation du SP1 de Windows 7 pourra, selon le besoin, proposer ces 4 mises à jour

14 Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer :Win32/Renocide A backdoor worm that propagates aggressively through USB, share drives, etc. and launches IRC attacks A backdoor worm that propagates aggressively through USB, share drives, etc. and launches IRC attacks The MSRT will begin supporting Windows 7 and Windows Server 2008 R2 Service Pack 1 as of the March security bulletin release.. The MSRT will begin supporting Windows 7 and Windows Server 2008 R2 Service Pack 1 as of the March security bulletin release.. Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove http://www.microsoft.com/france/securite/malwareremove

15 Après le 12 avril 2011 les produits ou Service Pack suivants ne sont plus supportés : ISA Server 2000 ISA Server 2000 MOM 2000 MOM 2000 SMS 2.0 SMS 2.0.Net Framework 3.0.Net Framework 3.0.Net Framework 3.5 RTM.Net Framework 3.5 RTM Après le 12 juillet 2011 les produits ou Service Pack suivants ne sont plus supportés : Office XP Office XP SharePoint Portal Server 2001 SharePoint Portal Server 2001 Visio 2002 Visio 2002 Biztalk Server 2000 Biztalk Server 2000 Windows Vista Service Pack 1 Windows Vista Service Pack 1 Windows Server 2008 RTM Windows Server 2008 RTM Pour rappel…

16 Ressources Synthèse des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/ms11-mar.mspx http://www.microsoft.com/france/technet/security/bulletin/ms11-mar.mspx Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin http://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Avis de sécurité http://www.microsoft.com/france/technet/security/advisory http://www.microsoft.com/france/technet/security/advisory Abonnez-vous à la synthèse des Bulletins de sécurité (en français) http://www.microsoft.com/france/securite/newsletters.mspx http://www.microsoft.com/france/securite/newsletters.mspx Blog du MSRC (Microsoft Security Response Center) http://blogs.technet.com/msrc http://blogs.technet.com/msrc Microsoft France sécurité http://www.microsoft.com/france/securite http://www.microsoft.com/france/securite TechNet sécurité http://www.microsoft.com/france/technet/security http://www.microsoft.com/france/technet/security

17 Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNonLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNonLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNonLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NonUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NonTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NonTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENonMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NonUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NonUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NonUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NonUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES. WWW.MICROSOFT.COM/SECURITY