Bulletin de sécurité Microsoft MS12-012 - Important

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Pour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier légitime (par exemple un fichier .icm ou .icc).
• Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Installer l'Expérience utilisateur sur Windows Server 2008 et Windows Server 2008 R2

  Les systèmes dotés de la fonctionnalité Expérience utilisateur ne sont pas affectés par cette vulnérabilité.

  Pour plus d'informations, notamment pour obtenir des instructions sur la manière d'installer et de supprimer l'Expérience utilisateur, consultez l'article TechNet « Vue d'ensemble de la fonctionnalité Expérience utilisateur ».

• Désactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants

  Remarque : Consultez l'Article 2264107 de la Base de connaissances Microsoft pour déployer un outil de contournement qui permet aux clients de désactiver le chargement de bibliothèques à partir de partages réseau et WebDAV distants. Cet outil peut être configuré pour rejeter le chargement non sécurisé de manière globale ou par application.

  Les clients informés par leur fournisseur d'une application vulnérable peuvent utiliser cet outil pour se protéger contre les tentatives d'exploitation de ce problème.

  Remarque : Consultez l'Article 2264107 de la Base de connaissances Microsoft pour utiliser la solution automatisée Fix it de Microsoft pour déployer la clé de Registre permettant de bloquer le chargement de bibliothèques pour les partages SMB et WebDAV. Notez que cette solution Fix it nécessite l'installation préalable de l'outil de contournement également décrit dans l'Article 2264107 de la Base de connaissances Microsoft. Cette solution Fix it déploie uniquement la clé de Registre et nécessite l'outil de contournement pour être efficace. Nous recommandons aux administrateurs de consulter l'article de la Base de connaissances de près avant de déployer cette solution Fix it.

• Désactiver le service WebClient

  La désactivation du service WebClient permet de protéger les systèmes affectés des tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus courant via le service client WebDAV (Web Distributed Authoring and Versioning). Après avoir appliqué cette solution de contournement, il est toujours possible pour les attaquants distants qui parviennent à exploiter cette vulnérabilité de forcer le système à exécuter des programmes situés sur l'ordinateur de l'utilisateur ciblé ou sur le réseau local (LAN), mais les utilisateurs seront invités à confirmer avant l'ouverture de programmes arbitraires à partir d'Internet.

  Pour désactiver le service WebClient, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez « Services.msc » puis cliquez sur OK.
  2. Cliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.
  3. Modifiez le type de démarrage en Désactivé. Si le service s'exécute, cliquez sur Arrêter.
  4. Cliquez sur OK et quittez la console de gestion.

  Impact de cette solution de contournement. La désactivation du service WebClient empêche la transmission des requêtes WebDAV (Web Distributed Authoring and Versioning). Par ailleurs, les services qui en dépendent explicitement ne démarreront pas et un message d'erreur sera consigné dans le journal des événements système. Par exemple, les partages WebDAV seront inaccessibles à partir de l'ordinateur client.

  Comment annuler cette solution de contournement.

  Pour réactiver le service WebClient, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez « Services.msc » puis cliquez sur OK.
  2. Cliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.
  3. Modifiez le type de démarrage en Automatique. Si le service ne s'exécute pas, cliquez sur Démarrer.
  4. Cliquez sur OK et quittez la console de gestion.
• Bloquer les ports TCP 139 et 445 au niveau du pare-feu

  Ces ports servent à établir une connexion au composant affecté. En bloquant les ports TCP 139 et 445 au niveau du pare-feu, vous protégerez les systèmes situés derrière ce pare-feu des tentatives d'exploitation de cette vulnérabilité. Microsoft vous recommande de bloquer toute communication entrante non sollicitée en provenance d'Internet, afin de renforcer la protection contre des attaques qui pourraient utiliser les autres ports. Pour obtenir plus d'informations sur les ports, consultez l'article TechNet consacré aux affectations de port TCP et UDP (en anglais).

  Impact de cette solution de contournement. Plusieurs services Windows utilisent ces ports. Bloquer ces ports peut entraîner un dysfonctionnement de certaines applications ou services. Certaines applications pouvant être affectées sont répertoriées ci-dessous :

  • Applications qui utilisent SMB (CIFS)
  • Applications utilisant des mailslots ou des canaux nommés (named pipes) (RPC sur SMB)
  • Serveur (Partage de fichier et d'impression)
  • Stratégie de groupe
  • Ouverture de session réseau
  • Système de fichiers distribués (DFS)
  • Gestion de licences Terminal Server
  • Spouleur d'impression
  • Explorateur d'ordinateur
  • Localisateur d'appels de procédure distante (RPC)
  • Service de télécopie
  • Service d'indexation
  • Journaux et alertes de performances
  • Systems Management Server
  • Service d'enregistrement de licence

  Comment annuler cette solution de contournement. Autorisez les ports TCP 139 et 445 au niveau du pare-feu. Pour plus d'informations sur les ports, consultez l'article consacré aux affectations de port TCP et UDP (en anglais).

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité est due au fait que le Panneau de configuration Couleurs limite de façon incorrecte le chemin utilisé lors du chargement de bibliothèques externes.

Qu'est-ce que la fonctionnalité Expérience utilisateur dans Windows Server 2008 ? 
Certaines fonctionnalités de bureau, telles que le Panneau de configuration Couleurs, ne sont pas installées par défaut sur Windows Server 2008. Vous pouvez les installer toutes ensemble en installant l'Expérience utilisateur sur Windows Server 2008. Pour plus d'informations, consultez l'article TechNet « Vue d'ensemble de la fonctionnalité Expérience utilisateur ».

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Un attaquant pourrait persuader un utilisateur d'ouvrir un fichier légitime (par exemple un fichier .icm ou .icc) situé dans le même répertoire réseau qu'un fichier de bibliothèque de liens dynamiques (DLL) spécialement conçu. Lors de l'ouverture du fichier légitime, le Panneau de configuration Couleurs pourrait alors tenter de charger le fichier DLL et d'exécuter le code qu'il contient.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier légitime à un utilisateur (par exemple un fichier .icm ou .icc) et en persuadant l'utilisateur de placer la pièce jointe dans un répertoire contenant un fichier DLL spécialement conçu, puis d'ouvrir le fichier légitime. Lors de l'ouverture du fichier légitime, le Panneau de configuration Couleurs pourrait alors tenter de charger le fichier DLL et d'exécuter le code qu'il contient.

Dans un scénario d'attaque réseau, un attaquant pourrait placer un fichier légitime (par exemple un fichier .icm ou .icc) et un fichier DLL spécialement conçu sur un partage réseau, un emplacement UNC ou WebDAV, puis convaincre l'utilisateur d'ouvrir ce fichier.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les serveurs sur lesquels les utilisateurs peuvent ouvrir des fichiers provenant d'une source réseau non fiable sont les plus exposés.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont le Panneau de configuration Couleurs charge les bibliothèques externes.

Cette vulnérabilité est-elle liée à l'Avis de sécurité Microsoft 2269637 ? 
Oui, cette vulnérabilité est liée à la classe de vulnérabilités décrite dans l'Avis de sécurité Microsoft 2269637 qui affecte la façon dont les applications chargent les bibliothèques externes. Cette mise à jour de sécurité corrige une instance particulière de ce type de vulnérabilité.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2010-5082.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft avait vu des exemples et des preuves de la publication d'un tel code, mais n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.