Bulletin de sécurité Microsoft MS15-025 - Important
Les vulnérabilités dans le noyau Windows peuvent autoriser l’élévation de privilèges (3038680)
Publication : 10 mars 2015 | Mise à jour : 16 mars 2015
Version : 2.0
Résumé
Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft Windows. Les vulnérabilités les plus graves peuvent permettre l’élévation de privilèges si un attaquant se connecte à un système affecté et exécute une application spécialement conçue. Un attaquant qui a réussi à exploiter la vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte d’un autre utilisateur connecté au système concerné. Un attaquant peut ensuite installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes potentiellement avec des droits d’utilisateur complets.
Cette mise à jour de sécurité est évaluée comme importante pour toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout les vulnérabilités en corrigeant la façon dont la virtualisation du Registre Windows gère le magasin virtuel d’autres utilisateurs et comment Windows valide les niveaux d’emprunt d’identité. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3038680.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Système d’exploitation | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3033395-v2) | Élévation de privilège | Important | 2859537 dans MS13-063 |
| Windows Server 2003 x64 Edition Service Pack 2 (3033395-v2) | Élévation de privilège | Important | 2813170 dans MS13-031 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium (3033395-v2) | Élévation de privilège | Important | 2813170 dans MS13-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3035131) | Élévation de privilège | Important | Aucun |
| Windows Vista x64 Edition Service Pack 2 (3035131) | Élévation de privilège | Important | Aucun |
| Windows Server 2008 | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3035131) | Élévation de privilège | Important | Aucun |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (3035131) | Élévation de privilège | Important | Aucun |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3035131) | Élévation de privilège | Important | Aucun |
| Windows 7 | |||
| Windows 7 pour systèmes 32 bits Service Pack 1 (3035131)[1] | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows 7 pour systèmes x64 Service Pack 1 (3035131)[1] | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3035131)[1] | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3035131)[1] | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows 8 et Windows 8.1 | |||
| Windows 8 pour systèmes 32 bits (3035131) | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows 8 pour systèmes x64 (3035131) | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows 8.1 pour les systèmes 32 bits (3035131) | Élévation de privilège | Important | 3031432 dans MS15-015 |
| Windows 8.1 pour les systèmes x64 (3035131) | Élévation de privilège | Important | 3031432 dans MS15-015 |
| Windows Server 2012 et Windows Server 2012 R2 | |||
| Windows Server 2012 (3035131) | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows Server 2012 R2 (3035131) | Élévation de privilège | Important | 3031432 dans MS15-015 |
| Windows RT et Windows RT 8.1 | |||
| Windows RT[2](3035131) | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows RT 8.1[2](3035131) | Élévation de privilège | Important | 3031432 dans MS15-015 |
| Option d’installation server Core | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3035131) | Élévation de privilège | Important | Aucun |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3035131) | Élévation de privilège | Important | Aucun |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3035131)[1] | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows Server 2012 (installation minimale) (3035131) | Élévation de privilège | Important | 3023562 dans MS15-010 |
| Windows Server 2012 R2 (installation minimale) (3035131) | Élévation de privilège | Important | 3031432 dans MS15-015 |
[1]La mise à jour 3035131 pour Windows 7 et Windows Server 2008 R2 a affecté les fichiers binaires en commun avec la mise à jour publiée simultanément via le 3033929 de conseil de sécurité. Consultez l’entrée du FORUM aux questions sur les mises à jour dans ce bulletin pour découvrir comment cela peut avoir un impact sur les clients qui téléchargent et installent les mises à jour manuellement.
[2]Cette mise à jour est disponible uniquement via Windows Update .
Faq sur la mise à jour
Comment la mise à jour 3035131 est-elle liée aux 3033929 de conseil de sécurité ?
Pour Windows 7 et Windows Server 2008 R2, la mise à jour 3035131 décrite dans ces partages de bulletins a affecté les fichiers binaires avec la mise à jour publiée simultanément via le 3033929 de conseil de sécurité. Ce chevauchement dans les fichiers binaires affectés nécessite qu’une mise à jour remplace l’autre et, dans ce cas, il s’agit d’une mise à jour de conseil 3033929 qui remplace les 3035131 de mise à jour. Les clients disposant d’une mise à jour automatique activée ne doivent pas avoir de comportement d’installation inhabituel ; les deux mises à jour doivent être installées automatiquement et les deux doivent apparaître dans la liste des mises à jour installées. Toutefois, pour les clients qui téléchargent et installent manuellement les mises à jour, l’ordre dans lequel les mises à jour sont installées détermine le comportement observé comme suit :
Scénario 1 (préféré) : le client installe d’abord la mise à jour 3035131, puis installe la mise à jour de conseil 3033929. Résultat : les deux mises à jour doivent être installées normalement et les deux mises à jour doivent apparaître dans la liste des mises à jour installées.
Scénario 2 : Le client installe d’abord la mise à jour de conseil 3033929, puis tente d’installer les 3035131 de mise à jour. Résultat : le programme d’installation informe l’utilisateur que la mise à jour 3035131 est déjà installée sur le système ; et la mise à jour 3035131 n’est pas ajoutée à la liste des mises à jour installées.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de mars.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | |||
|---|---|---|---|
| Logiciel affecté | Vulnérabilité d’élévation de privilèges de virtualisation du Registre - CVE-2015-0073 | Vulnérabilité d’élévation de privilèges au niveau de l’emprunt d’identité - CVE-2015-0075 | Évaluation de gravité agrégée |
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3033395-v2) | Non applicable | Élévation de privilège importante | Important |
| Windows Server 2003 x64 Edition Service Pack 2 (3033395-v2) | Non applicable | Élévation de privilège importante | Important |
| Windows Server 2003 avec SP2 pour les systèmes Itanium (3033395-v2) | Non applicable | Élévation de privilège importante | Important |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Vista x64 Edition Service Pack 2 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2008 | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows 7 | |||
| Windows 7 pour systèmes 32 bits Service Pack 1 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows 7 pour systèmes x64 Service Pack 1 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows 8 et Windows 8.1 | |||
| Windows 8 pour systèmes 32 bits (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows 8 pour systèmes x64 (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows 8.1 pour les systèmes 32 bits (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows 8.1 pour systèmes x64 (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows Server 2012 et Windows Server 2012 R2 | |||
| Windows Server 2012 (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows Server 2012 R2 (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows RT et Windows RT 8.1 | |||
| Windows RT (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows RT 8.1 (3035131) | Élévation de privilège importante | Non applicable | Important |
| Option d’installation server Core | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3035131) | Élévation de privilège importante | Élévation de privilège importante | Important |
| Windows Server 2012 (installation minimale) (3035131) | Élévation de privilège importante | Non applicable | Important |
| Windows Server 2012 R2 (installation minimale) (3035131) | Élévation de privilège importante | Non applicable | Important |
Informations sur la vulnérabilité
Vulnérabilité d’élévation de privilèges de virtualisation du Registre - CVE-2015-0073
Une vulnérabilité d’élévation de privilèges existe de la façon dont la virtualisation du Registre Windows permet à un utilisateur de modifier le magasin virtuel d’un autre utilisateur. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de sécurité du compte d’un autre utilisateur connecté au système concerné. Un attaquant peut ensuite installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes potentiellement avec des droits d’utilisateur complets.
Pour exploiter cette vulnérabilité, un attaquant doit d’abord se connecter au système. Un attaquant peut ensuite exécuter une application spécialement conçue qui pourrait exploiter la vulnérabilité et prendre le contrôle du compte d’un autre utilisateur connecté au système concerné. La mise à jour résout la vulnérabilité en corrigeant la façon dont Windows Registry Virtualization gère le magasin virtuel d’autres utilisateurs.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis à l’origine, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Seuls les processus qui utilisent Registry Virtualization sont affectés par cette vulnérabilité.
La virtualisation du Registre est activée uniquement pour les éléments suivants :
Processus interactifs 32 bits
Clés dans HKEY_LOCAL_MACHINE\Software
Clés auxquelles un administrateur peut écrire.
(Si un administrateur ne peut pas écrire dans une clé, l’application aurait échoué sur les versions précédentes de Windows même si elle était exécutée par un administrateur.)
La virtualisation du Registre est désactivée pour les éléments suivants :
- Processus 64 bits qui ne sont pas interactifs, tels que les services.
Notez que l’utilisation du Registre comme mécanisme de communication interprocessus (IPC) entre un service (ou tout autre processus qui n’a pas de virtualisation activé) et qu’une application ne fonctionne pas correctement si la clé est virtualisée. Par exemple, si un service antivirus met à jour ses fichiers de signature en fonction d’une valeur définie par une application, le service ne met jamais à jour ses fichiers de signature, car le service lit à partir du magasin global, mais l’application écrit dans le magasin virtuel. Traite qui empruntent l’identité d’un utilisateur. Si un processus tente une opération lors de l’emprunt d’identité d’un utilisateur, cette opération ne sera pas virtualisée. Processus en mode noyau, tels que les pilotes. - Processus qui ont demandéExecutionLevel spécifiés dans leurs manifestes.
- Clés et sous-clés de HKEY_LOCAL_MACHINE\Software\Classes, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows et HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft\Windows NT.
Pour plus d’informations, consultez La virtualisation du Registre.
- Processus 64 bits qui ne sont pas interactifs, tels que les services.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
- Désactiver la virtualisation du Registre
Utilisation de la stratégie de groupe :
Le contrôle de compte d’utilisateur : Virtualiser les échecs d’écriture de fichier et de Registre dans les emplacements utilisateur détermine si les échecs d’écriture de l’application sont redirigés vers des emplacements de registre et de système de fichiers définis. Ce paramètre de stratégie atténue les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application au moment de l’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software.
Les options sont :
- Activé. (Par défaut) Les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements utilisateur définis pour le système de fichiers et le Registre.
- Désactivé. Les applications qui écrivent des données dans des emplacements protégés échouent.
Utilisation des paramètres de Registre :
Dans la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, définissez la valeur DWORD « EnableVirtualization » sur 0 pour désactiver la virtualisation des fichiers et des registres, ou 1 pour activer (il s’agit de la valeur par défaut)
Pour plus d’informations, consultez Contrôle de compte d’utilisateur : Virtualiser les échecs d’écriture de fichier et de Registre dans des emplacements par utilisateur.
Impact de la solution de contournement. Les logiciels qui dépendent de la possibilité d’écrire dans des emplacements de registre et de système de fichiers protégés peuvent ne pas fonctionner correctement.
Vulnérabilité d’élévation de privilèges au niveau de l’emprunt d’identité - CVE-2015-0075
Une vulnérabilité d’élévation de privilèges existe lorsque Windows ne parvient pas à valider et à appliquer correctement les niveaux d’emprunt d’identité. Un attaquant qui a réussi à exploiter cette vulnérabilité peut contourner les case activée de compte d’utilisateur pour obtenir des privilèges élevés.
Pour exploiter cette vulnérabilité, un attaquant doit d’abord se connecter au système. Un attaquant peut ensuite exécuter une application spécialement conçue pour augmenter les privilèges. La mise à jour résout la vulnérabilité en corrigeant la façon dont Windows valide les niveaux d’emprunt d’identité.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis à l’origine, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 mars 2015) : Bulletin publié.
- V2.0 (16 mars 2015) : Pour résoudre un problème d’empaquetage pour les clients qui sont à plusieurs reprises réoffrés de la mise à jour de sécurité 3033395 lorsqu’ils sont installés sur des systèmes exécutant des éditions prises en charge de Windows Server 2003, Microsoft a publié la mise à jour 30333395-v2 pour toutes les éditions prises en charge de Windows Server 2003. Les clients qui n’ont pas déjà installé la mise à jour 3033395 doivent installer la mise à jour 3033395-v2 pour être entièrement protégés contre cette vulnérabilité. Pour éviter les éventuels problèmes de logique de détection futurs, Microsoft recommande aux clients exécutant Windows Server 2003 qui ont déjà installé la mise à jour 3033395 d’appliquer également la mise à jour 3033395-v2, même s’ils sont déjà protégés contre cette vulnérabilité. Les clients exécutant d’autres systèmes d’exploitation Microsoft ne sont pas affectés par cette réécriture et n’ont pas besoin d’effectuer d’action. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 3033395 .
Page générée 2015-03-16 14 :59Z-07 :00.