Bulletins de Sécurité MicrosoftNovembre 2011

Bruno SorcelleTechnical Account Manager

Bienvenue !

Présentation des bulletins de Novembre 20114 Nouveaux bulletins de Sécurité

1 Critique2 Importants1 Modéré

2 bulletins réédités1 avis de sécuritéMises à jour Non relatives à la sécurité

Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations

Ressources

Questions - Réponses : Envoyez dès maintenant !

* Malicious software (logiciel malveillant)

Questions - Réponses

À tout moment pendant la

présentation, posez vos questions :

1. Ouvrez l’interface et cliquez dans sur l’espace messagerie instantanée

2. Précisez le numéro du Bulletin, entrez votre question

Bulletin N°Article LogicielAffecté

ComposantAffecté

Indice de gravité

Priorité de déploieme

nt

Max. Exploit Index Rating

Révélépublique

ment

MS11-083

2588516Windows TCP/IP Critique 1 2 Non

MS11-084

2617657Windows Kernel-Mode Drivers Modéré 3 * Non

MS11-085

2620704Windows Windows Mail Important 2 1 Non

MS11-086

2630837Windows Active Directory Important 2 1 Non

Bulletins de Sécurité de Novembre 2011

Index d’exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné

MS11-083 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS11-083

Une vulnérabilité dans TCP/IP pourrait permettre l'exécution de code à distance (2588516)

Critique

• Windows Vista (Toutes les versions supportées)

• Windows Server 2008 (Toutes les versions supportées)

• Windows 7 (Toutes les versions supportées• Windows Server 2008 R2 (Toutes les versions

supportées)

MS11-083 : Une vulnérabilité dans TCP/IP pourrait permettre l'exécution de code à distance (2588516) - Critique

Vulnérabilité • Vulnérabilité d’exécution de code à distance

Vecteurs d'attaque possibles

• Un flux continu de paquets UDP spécialement conçus à un port fermé sur un système cible, entrainant un dépassement d’entier.

Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Facteurs atténuants • Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Contournement • Bloquer les ports UDP non utilisés au niveau du pare-feu de périmètre

Informations complémentaires

• Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS11-084 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS11-084

Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre un déni de service (2617657)

Modéré• Windows 7 (Toutes les versions supportées)• Windows Server 2008 R2 (Toutes les

versions supportées)

MS11-084 : Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre un déni de service (2617657) - Modéré

Vulnérabilité • Vulnérabilité de Déni de Service

Vecteurs d'attaque possibles

• Un attaquant pourrait héberger une police TrueType spécialement conçue sur un partage réseau. Lorsque l'utilisateur navigue vers le partage dans l'Explorateur Windows, le chemin de contrôle concerné est déclenché via le volet des détails et le volet de visualisation. La police TrueType spécialement conçue pourrait alors exploiter la vulnérabilité et empêcher le système de répondre.

Impact • Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système cible de répondre et pourrait le forcer à redémarrer.

Facteurs atténuants • Le protocole de partage de fichiers SMB est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque à distance potentiels pour cette vulnérabilité.

• Pour qu'une attaque aboutisse, un utilisateur doit visiter un emplacement de système de fichiers à distance ou un partage WebDAV non fiable qui contient un fichier de police TrueType spécialement conçu ou bien ouvrir le fichier joint à un message.

Contournement • Désactiver le service WebClient• Bloquer les ports TCP 139 et 445 au niveau du pare-feu

Informations complémentaires

• Cette vulnérabilités n’a pas été révélée publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS11-085 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS11-085

Une vulnérabilité dans Windows Mail et l'Espace de collaboration Windows pourrait permettre l'exécution de code à distance (2620704)

Important

• Windows Vista (Toutes les versions supportées)

• Windows Server 2008 (Toutes les versions supportées)

• Windows 7 (Toutes les versions supportées• Windows Server 2008 R2 (Toutes les

versions supportées)

MS11-085 : Une vulnérabilité dans Windows Mail et l'Espace de collaboration Windows pourrait permettre l'exécution de code à distance (2620704) - Important

Vulnérabilité • Vulnérabilité d’exécution de code à distance

Vecteurs d'attaque possibles

• Un fichier légitime et un fichier DLL spécialement conçu sur un partage réseau, un emplacement UNC ou WebDAV, puis convaincre l'utilisateur d'ouvrir ce fichier.

Impact • Un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté.

Facteurs atténuants • Pour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier légitime (tel qu'un fichier .eml ou .wcinv) à partir de cet emplacement, celui-ci étant ensuite chargé par une application vulnérable.

• Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité.

• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.

• Sur Windows Server 2008, Windows Mail et l'Espace de collaboration Windows ne sont pas installés par défaut. Windows Mail est uniquement installé lorsque l'Expérience utilisateur est également installée.

• Bien que le code vulnérable existe sur Windows 7 et Windows Server 2008 R2, Microsoft n'a pas connaissance de vecteurs d'attaque qui permettraient l'exploitation de la vulnérabilité sur ces systèmes d'exploitation.

Contournement • Désactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants• Désactiver le service WebClient• Bloquer les ports TCP 139 et 445 au niveau du pare-feu

Informations complémentaires

• Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS11-086 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS11-086

Une vulnérabilité dans Active Directory pourrait permettre une élévation de privilèges (2630837)

Important

• Windows XP (Toutes les versions supportées)

• Windows Server 2003 (Toutes les versions supportées)

• Windows Vista (Toutes les versions supportées)

• Windows Server 2008 32 bits SP2• Windows Server 2008 x64 SP2• Windows 7 (Toutes les versions

supportées• Windows Server 2008 R2 x64 (Toutes

les versions supportées)

MS11-086 : Une vulnérabilité dans Active Directory pourrait permettre une élévation de privilèges (2630837) - Important

Vulnérabilité • Vulnérabilités d’exécution de code à distance, d’élévation de privilèges , de divulgation d'informations et de Déni de Service

Vecteurs d'attaque possibles

• Un attaquant devrait d'abord acquérir un certificat révoqué associé à un compte valide sur le domaine.

• L’attaquant pourrait alors exploiter cette vulnérabilité en utilisant ce certificat précédemment révoqué pour s'authentifier auprès du domaine Active Directory et accéder aux ressources réseau ou exécuter du code avec les privilèges d'un utilisateur autorisé spécifique auquel le certificat est associé.

Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir l'accès à des ressources réseau ou exécuter du code avec les privilèges d'un utilisateur autorisé spécifique.

Facteurs atténuants • Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.

Contournement • Supprimer le compte utilisateur du domaine associé au certificat révoqué.• Utilisez des connexions IPsec en mode « Toujours vérifier la liste de révocation de certificats » en

plus de l'utilisation LDAPS.

Informations complémentaires

• Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin.• À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Réédition MS11-037 Une vulnérabilité dans MHTML pourrait permettre la divulgation d'informations (2544893)Ré-édition : • Microsoft a réédité ce Bulletin pour proposer à nouveau la mise à jour de sécurité KB2544893 pour toutes

les éditions en cours de support de Windows XP et Windows Server 2003. • La nouvelle version de cette mise à jour fournit aux systèmes qui exécutent Windows XP ou Windows Server

2003 la même protection cumulative que celle fournie par cette mise à jour pour tous les autres systèmes d'exploitation concernés.

Résumé : • La nouvelle version de cette mise à jour sera automatiquement proposée aux systèmes qui exécutent des éditions en cours de support de Windows XP et Windows Server 2003.

• Les clients qui utilisent ces systèmes d'exploitation, y compris ceux qui ont déjà installé la mise à jour initialement proposée le 14 juin 2011, doivent installer la nouvelle mise à jour proposée.

• Les clients qui utilisent Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2, ayant déployés avec succès cette mise à jour du 14 juin 2011 non pas besoin de réinstaller cette mise à jour.

MS11-071 Une vulnérabilité dans les composants Windows pourrait permettre l'exécution de code à distance (2570947)Ré-édition : • Microsoft a réédité ce Bulletin pour annoncer la disponibilité d'une mise à jour pour Windows 7 Embedded.

• Nos clients utilisant cette plate-forme sont encouragés à télécharger et appliquer cette mise à jour sur leurs systèmes.

Résumé : • Les mises à jour de sécurité sont disponibles sur Microsoft Update et Windows Update. • Cette réédition ne concerne aucun autre package de mise à jour.

Avis de Sécurité 2639658Avis de Sécurité 2639658 : Une vulnérabilité liée au traitement des polices TrueType pourrait permettre une élévation de privilèges

Logiciels concernés : • Windows XP (Toutes les versions supportées)• Windows Server 2003 (Toutes les versions supportées)• Windows Vista (Toutes les versions supportées)• Windows Server 2008 (Toutes les versions supportées)• Windows 7 (Toutes les versions supportées)• Windows Server 2008 R2 (Toutes les versions supportées)

Résumé : • Microsoft étudie une vulnérabilité dans un composant de Microsoft Windows, le moteur de traitement de police TrueType de Win32k. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer des comptes dotés de tous les privilèges. Nous avons connaissance d'attaques ciblées qui tentent d'utiliser la vulnérabilité signalée ; dans l'ensemble, l'impact sur nos clients semble faible à l'heure actuelle. Cette vulnérabilité concerne le logiciel malveillant Duqu.

• Dès la fin de cette enquête, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients. Ceci peut comprendre la mise à disposition d'un correctif de sécurité lors du cycle mensuel ou lors d'une publication exceptionnelle.

Vecteurs d’Attaques • Une police TrueType spécialement conçue• Un attaquant pourrait fournir des documents ou convaincre des utilisateurs de visiter une page Web dans

laquelle une police TrueType est intégrée. La police TrueType spécialement conçue pourrait exploiter alors la vulnérabilité.

Facteurs atténuants • La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant.

Contournements • Désactiver l’accès à T2EMBED.DLL• Fix-it disponible dans l’article KB2639658

Bulletin ID Windows Update Microsoft Update MBSA WSUS SMS ITMU SCCM 2007

MS11-083 Oui Oui Oui Oui Oui Oui

MS11-084 Oui Oui Oui Oui Oui Oui

MS11-085 Oui Oui Oui Oui Oui Oui

MS11-086 Oui Oui Oui Oui Oui Oui

Détection et déploiement

Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour Notre gamme complète de produits et services

Informations de mise à jourBulletin Redémarrage requis Désinstallation Remplace

MS11-083 Oui Oui MS11-064

MS11-084 Oui Oui MS11-077

MS11-085 Possible Oui Aucun

MS11-086 Oui Oui MS10-068

Novembre 2011 - Mises à jour Non relatives à la sécurité

Article Title Distribution

KB905866 Update for Windows Mail Junk E-mail Filter The November 2011 release of the Windows Mail Junk E-mail Filter

Catalog, AU, WSUS

KB890830 Windows Malicious Software Removal ToolThe November 2011 release of the Windows Malicious Software Removal Tool

Catalog, AU, WSUS

Info: KB894199 Description of Software Update Services and Windows Server Update Services changes in content for 2011http://support.microsoft.com/kb/894199

Windows Malicious Software Removal Tool

Ajoute la possibilité de supprimer :

Win32/CarberpA prevalent downloader associated with online banking Trojans

Win32/CridexA multi -purpose bot that steals data and spread malware

Win32/DofoilA prevalent Trojan downloader

Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

Lifecycle Support Information

Après le 10 janvier 2011 les produits ou Service Pack suivants ne sont plus supportés : • SQL Server 2005 Service Pack 3• Dynamics AX 3.0• Host Integration Server 2000• Content Management Server 2001

Pour rappel…

RessourcesSynthèse des Bulletins de sécuritéhttp://technet.microsoft.com/fr-fr/security/bulletin/ms11-nov

Bulletins de sécuritéhttp://technet.microsoft.com/fr-fr/security/bulletin

Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://technet.microsoft.com/fr-fr/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite

TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET Technologies ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.

Merci