Bulletin de sécurité Microsoft MS14-064 - Critique

Les vulnérabilités dans Windows OLE pourraient autoriser l’exécution de code à distance (3011443)

Publication : 11 novembre 2014

Version : 1.0

Résumé

Cette mise à jour de sécurité résout deux vulnérabilités signalées en privé dans Microsoft Windows Object Linking and Embedding (OLE). La plus grave de ces vulnérabilités peut permettre l’exécution de code à distance si un utilisateur consulte une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui a réussi à exploiter les vulnérabilités peut exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant peut alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes avec des droits d’utilisateur complets. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que les utilisateurs qui opèrent avec des droits d’utilisateur administratifs.

Cette mise à jour de sécurité est évaluée critique pour toutes les éditions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.

La mise à jour de sécurité résout les vulnérabilités en modifiant la façon dont les systèmes d’exploitation affectés valident l’utilisation de la mémoire lorsque des objets OLE sont accessibles et en modifiant la façon dont Internet Explorer gère les objets en mémoire. Pour plus d’informations sur les vulnérabilités, consultez la sous-section Questions fréquentes (FAQ) sur la vulnérabilité spécifique. 

Cette mise à jour de sécurité traite également de la vulnérabilité décrite en premier dans microsoft Security Advisory 3010060.

Pour plus d’informations sur ce document, consultez l’article de la Base de connaissances Microsoft 3011443.

Logiciel affecté

Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.

^[1] Cette mise à jour est disponible uniquement via Windows Update .

Notez que Windows Technical Preview et Windows Server Technical Preview sont affectés. Les clients exécutant ces systèmes d’exploitation sont encouragés à appliquer la mise à jour, disponible via Windows Update. 

Évaluations de gravité et identificateurs de vulnérabilité

Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de novembre.

Vulnérabilité d’exécution de code à distance windows OLE Automation Array - CVE-2014-6332

Une vulnérabilité d’exécution de code à distance existe quand Internet Explorer accède incorrectement aux objets en mémoire. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients. Cette mise à jour résout la vulnérabilité en modifiant la façon dont les systèmes d’exploitation affectés valident l’utilisation de la mémoire lorsque des objets OLE sont accessibles et en modifiant la façon dont Internet Explorer gère les objets en mémoire.

Facteurs d’atténuation

Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

• Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que ceux qui opèrent avec des droits d’utilisateur administratifs.
• Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devra convaincre les utilisateurs de prendre des mesures, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.

Solutions de contournement

Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.

FAQ

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant peut alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes avec des droits d’utilisateur complets. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que les utilisateurs qui opèrent avec des droits d’utilisateur administratifs.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devra convaincre les utilisateurs de prendre des mesures, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Les systèmes dans lesquels Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal, sont les plus exposés à cette vulnérabilité.

Vulnérabilité d’exécution de code distant Windows OLE - CVE-2014-6352

Une vulnérabilité d’exécution de code à distance existe dans le contexte de l’utilisateur actuel qui est provoqué lorsqu’un utilisateur télécharge ou reçoit, puis ouvre un fichier Microsoft Bureau spécialement conçu qui contient des objets OLE. Microsoft a d’abord reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Cette vulnérabilité a d’abord été décrite dans microsoft Security Advisory 3010060. Microsoft est conscient des attaques limitées qui tentent d’exploiter cette vulnérabilité. Cette mise à jour résout la vulnérabilité en modifiant la façon dont les systèmes d’exploitation affectés valident l’utilisation de la mémoire lorsque des objets OLE sont accessibles.

Facteurs d’atténuation

Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

• Dans les attaques observées, le contrôle de compte d’utilisateur (UAC) affiche une invite de consentement ou une invite d’élévation, en fonction des privilèges de l’utilisateur actuel, avant l’exécution d’un fichier contenant l’exploit. L’UAC est activée par défaut sur Windows Vista et les versions plus récentes de Microsoft Windows.
• Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que ceux qui opèrent avec des droits d’utilisateur administratifs.
• Dans un scénario d’attaque basé sur le web, un attaquant peut héberger une page web qui contient un fichier Bureau spécialement conçu qui est utilisé pour tenter d’exploiter cette vulnérabilité. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites web. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de visiter le site web, généralement en les obtenant pour cliquer sur un lien dans un e-mail ou un message Instantané Messenger qui amène les utilisateurs au site web de l’attaquant.
• Les fichiers provenant d’Internet et d’autres emplacements potentiellement dangereux peuvent contenir des virus, des vers ou d’autres types de programmes malveillants susceptibles de nuire à votre ordinateur. Pour protéger votre ordinateur, les fichiers de ces emplacements potentiellement dangereux sont ouverts en mode protégé. En utilisant la vue protégée, vous pouvez lire un fichier et voir son contenu tout en réduisant les risques. La vue protégée est activée par défaut.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles dans votre situation :

• Appliquer la solution Microsoft Fix it, « Solution de contournement ole packager Shim », qui empêche l’exploitation de la vulnérabilité
  Consultez l’article de la Base de connaissances Microsoft 3010060 pour utiliser la solution de résolution automatisée microsoft pour activer ou désactiver cette solution de contournement.    | Remarque : | |-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | La solution Fix it est disponible pour Microsoft PowerPoint sur les éditions 32 bits et x64 de Microsoft Windows, à l’exception des éditions 64 bits de PowerPoint sur les éditions x64 de Windows 8 et Windows 8.1.  |

• N’ouvrez pas les fichiers Microsoft PowerPoint ou d’autres fichiers à partir de sources non approuvées
  N’ouvrez pas les fichiers Microsoft PowerPoint que vous recevez à partir de sources non approuvées ou que vous recevez de manière inattendue à partir de sources approuvées. Cette vulnérabilité peut être exploitée lorsqu’un utilisateur ouvre un fichier spécialement conçu. 

• Activer le contrôle de compte d’utilisateur (UAC)
  Notez que le contrôle de compte d’utilisateur est activé par défaut.

  1. Effectuez l’une des opérations suivantes pour ouvrir Panneau de configuration :
     1. Cliquez sur Démarrer, puis sur Panneau de configuration.
     2. Appuyez sur la touche de logo Windows + s, tapez Panneau de configuration, puis ouvrez l’application Panneau de configuration.
  2. Dans Panneau de configuration, cliquez sur Comptes d’utilisateur (ou Comptes d’utilisateur et famille Coffre ty).
  3. Dans la fenêtre Comptes d’utilisateur, cliquez sur Comptes d’utilisateur.
  4. Dans la fenêtre tâches comptes d’utilisateur, cliquez sur Activer ou désactiver le contrôle de compte d’utilisateur (ou modifier les paramètres de contrôle de compte d’utilisateur).
  5. Si l’UAC est actuellement configurée en mode d’approbation Administration, un message UAC s’affiche ; cliquez sur Continuer.
  6. Cliquez sur la zone case activée « Utiliser le contrôle de compte d’utilisateur (UAC) pour protéger votre ordinateur », puis cliquez sur OK.
  7. Effectuez l’une des actions suivantes :
     1. Cliquez sur Redémarrer maintenant pour appliquer immédiatement la modification.
     2. Cliquez sur Redémarrer ultérieurement.
  8. Fermez la fenêtre tâches comptes d’utilisateur.  

• Déployer l’expérience d’atténuation améliorée Shared Computer Toolkit 5.0 et configurer la réduction de la surface d’attaque
  La fonctionnalité Réduction de la surface d’attaque dans EMET 5.0 peut aider à bloquer les attaques actuelles. Vous devez ajouter la configuration à la norme pour être protégée. 

  1. Créez un fichier avec le contenu ci-dessous :

         <emet version="5.0.5324.31801">
     

2.  Save this file as **EMET\_CVE-2014-6352.xml**.
3.  From the EMET user interface, click **Import** from the **File** ribbon.
4.  Select the **EMET\_CVE-2014-6352.xml** file and click **Open**.
5.  Alternatively, run this command from a Command Prompt with elevated privileges to import the saved script "EMET\_CVE-2014-6532.xml" into EMET: 

    ```
        EMET_Conf.exe  --import EMET_CVE-2014-6352.xml
    ```

FAQ

Existe-t-il des problèmes de sécurité supplémentaires résolus dans cette mise à jour ?
Bien que la cause racine de la vulnérabilité décrite dans ce bulletin de sécurité soit traitée avec les correctifs de sécurité fournis, les correctifs de défense en profondeur sont fournis pour Microsoft PowerPoint afin d’atténuer l’attaque initialement décrite dans microsoft Security Advisory 3010060. Ces correctifs sont disponibles dans les versions prises en charge de Microsoft PowerPoint respectueusement dans les articles de la Base de connaissances Microsoft, les 2597972, les 2878251 et les 2889936.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant peut alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes avec des droits d’utilisateur complets. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que les utilisateurs qui opèrent avec des droits d’utilisateur administratifs.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
L’interaction utilisateur est nécessaire pour exploiter cette vulnérabilité. Pour qu’une attaque réussisse en envoyant un e-mail à un utilisateur connecté localement, l’utilisateur doit ouvrir une pièce jointe contenant un objet OLE spécialement conçu. De nombreux types différents de documents joints peuvent contenir les objets OLE affectés. Tous les types de fichiers Bureau ainsi que de nombreux autres types de fichiers tiers peuvent contenir un objet OLE malveillant.

Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en convançant l’utilisateur à ouvrir le fichier.

Dans un scénario d’attaque web, un attaquant doit héberger un site web qui contient un fichier PowerPoint utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web malveillant. Au lieu de cela, un attaquant aurait à les persuader de visiter le site web, généralement en les obtenant pour cliquer sur un lien qui les emmène sur le site de l’attaquant.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Les serveurs et clients Microsoft Windows qui ouvrent des fichiers de données Microsoft Bureau spécialement conçus qui contiennent des objets OLE sont principalement à risque.

Déploiement des mises à jour de sécurité

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.

Remerciements

Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

• V1.0 (11 novembre 2014) : Bulletin publié.

Page générée 2015-01-14 11 :18Z-08 :00.