Bulletin de sécurité Microsoft MS09-061 - Critique

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Les applications Microsoft .NET qui ne sont pas malveillantes ne sont pas exposées à ce risque. Seules les applications conçues de manière malveillante pourraient exploiter cette vulnérabilité.
• Dans un scénario d'hébergement Web, un attaquant doit posséder l'autorisation de téléchargement des pages ASP.NET arbitraires vers un site Web, et ASP.NET doit être installé sur ce serveur Web. Dans la configuration par défaut, un utilisateur anonyme ne peut pas télécharger et exécuter du code Microsoft .NET sur un serveur Internet Information Server (IIS).
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode atténue uniquement cette vulnérabilité dans un scénario d'attaque Web. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité.
• Internet Explorer 8 désactive le filtre MIME Microsoft .NET dans la zone Internet. Cette fonctionnalité d'Internet Explorer 8 rend le succès de l'exploitation de cette vulnérabilité plus difficile grâce au blocage d'une technique connue de contournement d'ASLR et de la protection DEP (Data Execution Prevention). La désactivation du filtre MIME Microsoft .NET dans la zone Internet ne rend pas impossible l'exploitation de cette vulnérabilité dans Internet Explorer 8, mais elle rend plus difficile son exploitation fiable par les sites Web malveillants.
• Dans le cas d'une attaque via le navigateur Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Un attaquant ayant exploité avec succès cette vulnérabilité peut obtenir des droits d'utilisateur identiques à ceux de l'utilisateur local ou du compte d'utilisateur ASP.NET. Les utilisateurs ou les comptes configurés avec des privilèges moins élevés sur le système subiront un impact inférieur à ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Désactivez les applications Microsoft .NET de confiance partielle

  Pour désactiver toutes les applications Microsoft .NET s'exécutant avec une confiance partielle, y compris les applications du navigateur XAML (les XBAP) et les applications Microsoft .NET situées sur le réseau, exécutez les commandes suivantes depuis une invite de commandes avec privilèges élevés :

  caspol –pp off caspol –m –resetlockdown caspol –pp on

  Remarque : Vous devez avoir ouvert une session en tant qu'administrateur ou posséder des autorisations d'administration pour mettre en œuvre cette solution de contournement.

  Impact de cette solution de contournement. Certaines applications Microsoft .NET ne s'exécuteront pas.

  Comment annuler la solution de contournement.

  Pour réinitialiser les stratégies de sécurité Microsoft .NET avec les valeurs par défaut, exécutez les commandes suivantes depuis une invite de commandes avec privilèges élevés :

  caspol –pp off caspol –m –reset caspol –pp on

  Remarque : Vous devez avoir ouvert une session en tant qu'administrateur ou posséder des autorisations d'administration pour annuler cette solution de contournement.

• Désactivez les applications du navigateur XAML dans Internet Explorer

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres de manière à ce qu'ils vous avertissent avant d'exécuter les applications du navigateur XAML (XBAP) ou qu'ils désactivent les XBAP dans les zones de sécurité Internet et Intranet local.

  1. Menu Outils, puis sélectionner Options Internet.
  2. Onglet Sécurité, cliquez sur Internet, puis sur Personnaliser le niveau.
  3. Paramètres, pour XAML isolé, cliquez sur Demander ou Désactiver, puis cliquez sur OK. Répétez ces étapes pour Applications du navigateur XAML et Documents XPS.
  4. Onglet Sécurité, cliquez sur Personnaliser le niveau, sous Composants dépendants du .NET Framework, pour Exécuter des composants non signés avec Authenticode, cliquez sur Demander ou sur Désactiver, puis cliquez sur OK. Répétez ces étapes pour Exécuter des composants signés avec Authenticode, puis cliquez sur OK.
  5. Intranet local, puis cliquez sur Personnaliser le niveau. Répétez les étapes 3 et 4. Si vous êtes invité à confirmer la modification de ces paramètres, cliquez sur Oui. Cliquez sur OK pour retourner dans Internet Explorer.

  Impact de cette solution de contournement. Le code Microsoft .NET ne s'exécutera pas dans Internet Explorer ou ne s'exécutera pas sans invite. La désactivation des applications et des composants Microsoft .NET dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Comment annuler la solution de contournement.

  1. Menu Outils, puis sélectionner Options Internet.
  2. Onglet Sécurité, cliquez sur Rétablir toutes les zones au niveau par défaut, puis cliquez sur OK.

Quelle est la portée de cette vulnérabilité ?  
Cette vulnérabilité est une vulnérabilité d'exécution de code à distance dans le contexte de l'utilisateur actuellement connecté, ou dans le contexte du compte de service associé à une identité de pool d'applications.

Quelle est la cause de cette vulnérabilité ?  
Cette vulnérabilité est le résultat de la manière dont le code Microsoft .NET vérifiable est vérifié.

Qu'est-ce que le CLR ?  
Microsoft .NET Framework fournit un environnement d'exécution appelé Common Language Runtime (CLR), qui exécute le code et fournit des services qui facilitent le processus de développement. Pour plus d'informations sur le CLR, consultez la Présentation du service CLR (en anglais).

Qu'est-ce qu'un XBAP ?  
Une application du navigateur XAML (XBAP) combine des fonctionnalités d'une application Web et d'une application cliente riche. Comme les applications Web, les XBAP peuvent être publiées sur un serveur Web et lancées à partir d'Internet Explorer. Comme les applications clientes riches, les XBAP peuvent tirer parti des capacités de Windows Presentation Foundation (WPF). Pour plus d'informations sur les XBAP, consultez la Vue d'ensemble des applications du navigateur XAML Windows Presentation Foundation.

J'exécute Internet Explorer pour Windows Server 2003 ou Windows Server 2008. Ceci limite-t-il cette vulnérabilité ? 
Oui et non. Pour le scénario d'attaque de navigation Web, l'exécution d'Internet Explorer sur Windows Server 2003 ou Windows Server 2008 atténue la vulnérabilité, mais en ce qui concerne le scénario d'attaque d'hébergement Web et d'application .NET, ces plates-formes n'atténuent pas la vulnérabilité. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Dans un scénario d'hébergement Web, un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que le compte de service associé à l'identité de pool d'applications du pool d'applications sous lequel une application Microsoft .NET s'exécute. En fonction de la configuration d'isolation du pool d'applications et des autorisations accordées au compte de service, un attaquant pourrait pouvoir prendre le contrôle d'autres pools d'applications sur le serveur Web ou prendre le contrôle intégral du système affecté. Pour plus d'informations sur les identités et la configuration de pool d'applications, consultez Configurer l'identité d'un pool d'applications (en anglais).

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Il existe trois scénarios possibles d'exploitation de cette vulnérabilité : Un scénario de navigation Web, un scénario d'hébergement Web et un scénario d'application de Microsoft .NET Framework. Ces scénarios sont décrits ci-dessous.

• Scénario de navigation Web
  Un attaquant pourrait héberger un site Web spécialement conçu contenant une XBAP (application du navigateur XAML) spécialement conçue et pouvant exploiter cette vulnérabilité puis convaincre un utilisateur d'afficher le site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
• Scénario d'hébergement Web
  Si un environnement d'hébergement Web permet à des utilisateurs de télécharger des applications ASP.NET personnalisées, un utilisateur attaquant pourrait télécharger une application ASP.NET malveillante utilisant cette vulnérabilité pour quitter le bac à sable utilisé pour empêcher le code ASP.NET d'exécuter des actions nuisibles sur le système serveur.
• Scénario d'application Microsoft .NET Framework
  Un attaquant pourrait placer une application Microsoft .NET Framework malveillante sur un partage réseau et convaincre des utilisateurs sur ce réseau d'exécuter cette application.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Il existe deux types de systèmes exposés à cette vulnérabilité, décrits ci-dessous : les systèmes qui utilisent le scénario de navigation Web et ceux qui utilisent le scénario d'hébergement Web.

• Scénario de navigation Web
  L'exploitation réussie de cette vulnérabilité requiert qu'un utilisateur ait ouvert une session et visite des sites Web en utilisant un navigateur Web capable d'instancier les XBAP. C'est pourquoi les systèmes sur lesquels un navigateur Internet est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à naviguer sur Internet et à consulter leur messagerie électronique depuis ceux-ci. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.
• Scénario d'hébergement Web
  Les sites d'hébergement Web qui permettent aux utilisateurs de télécharger des applications ASP.NET personnalisées sont les plus exposés.

J'ai écrit une application Microsoft .NET. Dois-je la recompiler ? 
Les applications Microsoft .NET qui ne sont pas malveillantes ne risquent pas d'être compromises en raison de cette vulnérabilité et ne nécessitent pas d'être recompilées. Seules les applications conçues de manière malveillante pourraient exploiter cette vulnérabilité.

Que fait cette mise à jour ?  
Cette mise à jour modifie la manière par laquelle Microsoft .NET Framework vérifie et applique les règles de code vérifiable Microsoft .NET.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n'avait pas la connaissance de la publication d'un tel code.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Les applications Microsoft .NET qui ne sont pas malveillantes ne sont pas exposées à ce risque. Seules les applications conçues de manière malveillante pourraient exploiter cette vulnérabilité.
• Dans un scénario d'hébergement Web, un attaquant doit posséder l'autorisation de téléchargement des pages ASP.NET arbitraires vers un site Web, et ASP.NET doit être installé sur ce serveur Web. Dans la configuration par défaut, un utilisateur anonyme ne peut pas télécharger et exécuter du code Microsoft .NET sur un serveur Internet Information Server (IIS).
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode atténue uniquement cette vulnérabilité dans un scénario d'attaque Web. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité.
• Internet Explorer 8 désactive le filtre MIME Microsoft .NET dans la zone Internet. Cette fonctionnalité d'Internet Explorer 8 rend le succès de l'exploitation de cette vulnérabilité plus difficile grâce au blocage d'une technique connue de contournement d'ASLR et de la protection DEP (Data Execution Prevention). La désactivation du filtre MIME Microsoft .NET dans la zone Internet ne rend pas impossible l'exploitation de cette vulnérabilité dans Internet Explorer 8, mais elle rend plus difficile son exploitation fiable par les sites Web malveillants.
• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Un attaquant ayant exploité avec succès cette vulnérabilité peut obtenir des droits d'utilisateur identiques à ceux de l'utilisateur local ou du compte d'utilisateur ASP.NET. Les utilisateurs ou les comptes configurés avec des privilèges moins élevés sur le système subiront un impact inférieur à ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Désactivez les applications Microsoft .NET de confiance partielle

  Pour désactiver toutes les applications Microsoft .NET s'exécutant avec une confiance partielle, y compris les applications du navigateur XAML (les XBAP) et les applications Microsoft .NET situées sur le réseau, exécutez les commandes suivantes depuis une invite de commandes avec privilèges élevés :

  caspol –pp off caspol –m –resetlockdown caspol –pp on

  Remarque : Vous devez avoir ouvert une session en tant qu'administrateur ou posséder des autorisations d'administration pour mettre en œuvre cette solution de contournement.

  Impact de cette solution de contournement. Certaines applications Microsoft .NET ne s'exécuteront pas.

  Comment annuler la solution de contournement.

  Pour réinitialiser les stratégies de sécurité Microsoft .NET avec les valeurs par défaut, exécutez les commandes suivantes depuis une invite de commandes avec privilèges élevés :

  caspol –pp off caspol –m –reset caspol –pp on

  Remarque : Vous devez avoir ouvert une session en tant qu'administrateur ou posséder des autorisations d'administration pour annuler cette solution de contournement.

• Désactivez les applications du navigateur XAML dans Internet Explorer

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres de manière à ce qu'ils vous avertissent avant d'exécuter les applications du navigateur XAML (XBAP) ou qu'ils désactivent les XBAP dans les zones de sécurité Internet et Intranet local.

  1. Menu Outils, puis sélectionner Options Internet.
  2. Onglet Sécurité, cliquez sur Internet, puis sur Personnaliser le niveau.
  3. Paramètres, pour XAML isolé, cliquez sur Demander ou Désactiver, puis cliquez sur OK. Répétez ces étapes pour Applications du navigateur XAML et Documents XPS.
  4. Onglet Sécurité, cliquez sur Personnaliser le niveau, sous Composants dépendants du .NET Framework, pour Exécuter des composants non signés avec Authenticode, cliquez sur Demander ou sur Désactiver, puis cliquez sur OK. Répétez ces étapes pour Exécuter des composants signés avec Authenticode, puis cliquez sur OK.
  5. Intranet local, puis cliquez sur Personnaliser le niveau. Répétez les étapes 3 et 4. Si vous êtes invité à confirmer la modification de ces paramètres, cliquez sur Oui. Cliquez sur OK pour retourner dans Internet Explorer.

  Impact de cette solution de contournement. Le code Microsoft .NET ne s'exécutera pas dans Internet Explorer ou ne s'exécutera pas sans invite. La désactivation des applications et des composants Microsoft .NET dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Comment annuler la solution de contournement.

  1. Menu Outils, puis sélectionner Options Internet.
  2. Onglet Sécurité, cliquez sur Rétablir toutes les zones au niveau par défaut, puis cliquez sur OK.

Quelle est la portée de cette vulnérabilité ?  
Cette vulnérabilité est une vulnérabilité d'exécution de code à distance dans le contexte de l'utilisateur actuellement connecté, ou dans le contexte du compte de service associé à une identité de pool d'applications.

Quelle est la cause de cette vulnérabilité ?  
Cette vulnérabilité est le résultat de la manière dont le code Microsoft .NET vérifiable est vérifié.

Qu'est-ce que le CLR ?  
Microsoft .NET Framework fournit un environnement d'exécution appelé Common Language Runtime (CLR), qui exécute le code et fournit des services qui facilitent le processus de développement. Pour plus d'informations sur le CLR, consultez la Présentation du service CLR (en anglais).

Qu'est-ce qu'un XBAP ?  
Une application du navigateur XAML (XBAP) combine des fonctionnalités d'une application Web et d'une application cliente riche. Comme les applications Web, les XBAP peuvent être publiées sur un serveur Web et lancées à partir d'Internet Explorer. Comme les applications clientes riches, les XBAP peuvent tirer parti des capacités de Windows Presentation Foundation (WPF). Pour plus d'informations sur les XBAP, consultez la Vue d'ensemble des applications du navigateur XAML Windows Presentation Foundation.

J'exécute Internet Explorer pour Windows Server 2003 ou Windows Server 2008. Ceci limite-t-il cette vulnérabilité ? 
Oui et non. Pour le scénario d'attaque via le navigateur Web, l'exécution d'Internet Explorer sur Windows Server 2003 ou Windows Server 2008 atténue la vulnérabilité, mais en ce qui concerne le scénario d'attaque d'hébergement Web et d'application Microsoft .NET, ces plates-formes n'atténuent pas la vulnérabilité. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Dans un scénario d'hébergement Web, un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que le compte de service associé à l'identité de pool d'applications du pool d'applications sous lequel une application Microsoft .NET s'exécute. En fonction de la configuration d'isolation du pool d'applications et des autorisations accordées au compte de service, un attaquant pourrait pouvoir prendre le contrôle d'autres pools d'applications sur le serveur Web ou prendre le contrôle intégral du système affecté. Pour plus d'informations sur les identités et la configuration de pool d'applications, consultez Configurer l'identité d'un pool d'applications (en anglais).

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Il existe trois scénarios possibles d'exploitation de cette vulnérabilité : Un scénario de navigation Web, un scénario d'hébergement Web et un scénario d'application de Microsoft .NET Framework. Ces scénarios sont décrits ci-dessous.

• Scénario de navigation Web
  Un attaquant pourrait héberger un site Web spécialement conçu contenant une XBAP (application du navigateur XAML) spécialement conçue et pouvant exploiter cette vulnérabilité puis convaincre un utilisateur d'afficher le site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
• Scénario d'hébergement Web
  Si un environnement d'hébergement Web permet à des utilisateurs de télécharger des applications ASP.NET personnalisées, un utilisateur attaquant pourrait télécharger une application ASP.NET malveillante utilisant cette vulnérabilité pour quitter le bac à sable utilisé pour empêcher le code ASP.NET d'exécuter des actions nuisibles sur le système serveur.
• Scénario d'application Microsoft .NET Framework
  Un attaquant pourrait placer une application Microsoft .NET Framework malveillante sur un partage réseau et convaincre des utilisateurs sur ce réseau d'exécuter cette application.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Il existe deux types de systèmes exposés à cette vulnérabilité, décrits ci-dessous : les systèmes qui utilisent le scénario de navigation Web et ceux qui utilisent le scénario d'hébergement Web.

• Scénario de navigation Web
  L'exploitation réussie de cette vulnérabilité requiert qu'un utilisateur ait ouvert une session et visite des sites Web en utilisant un navigateur Web capable d'instancier les XBAP. C'est pourquoi les systèmes sur lesquels un navigateur Internet est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à naviguer sur Internet et à consulter leur messagerie électronique depuis ceux-ci. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.
• Scénario d'hébergement Web
  Les sites d'hébergement Web qui permettent aux utilisateurs de télécharger des applications ASP.NET personnalisées sont les plus exposés.

J'ai écrit une application Microsoft .NET. Dois-je la recompiler ? 
Les applications Microsoft .NET qui ne sont pas malveillantes ne risquent pas d'être compromises en raison de cette vulnérabilité et ne nécessitent pas d'être recompilées. Seules les applications conçues de manière malveillante pourraient exploiter cette vulnérabilité.

Que fait cette mise à jour ?  
Cette mise à jour modifie la manière par laquelle Microsoft .NET Framework vérifie et applique les règles de code vérifiable Microsoft .NET.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n'avait pas la connaissance de la publication d'un tel code.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• La version actuelle de Microsoft Silverlight, Silverlight 3, n'est pas concernée par cette vulnérabilité. Par défaut, Silverlight vérifiera périodiquement sur un site Web Microsoft l'existence de mises à jour afin de vous fournir les dernières fonctionnalités et les dernières améliorations. Si une version plus récente est disponible, elle sera téléchargée et installée sur votre ordinateur. La plupart des systèmes exécuteront déjà une version de Silverlight 3. Pour plus d'informations, consultez Mise à jour de Microsoft Silverlight (en anglais).
• Les applications Microsoft .NET qui ne sont pas malveillantes ne sont pas exposées à ce risque. Seules les applications conçues de manière malveillante pourraient exploiter cette vulnérabilité.
• Dans un scénario d'hébergement Web, un attaquant doit posséder l'autorisation de téléchargement des pages ASP.NET arbitraires vers un site Web, et ASP.NET doit être installé sur ce serveur Web. Dans la configuration par défaut, un utilisateur anonyme ne peut pas télécharger et exécuter du code Microsoft .NET sur un serveur Internet Information Server (IIS).
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode atténue uniquement cette vulnérabilité dans un scénario d'attaque Web. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité.
• Internet Explorer 8 désactive le filtre MIME Microsoft .NET dans la zone Internet. Cette fonctionnalité d'Internet Explorer 8 rend le succès de l'exploitation de cette vulnérabilité plus difficile dans Internet Explorer 8 en bloquant une technique connue de contournement de protection ASLR et DEP (Data Execution Prevention). Ceci ne rend pas impossible l'exploitation de cette vulnérabilité dans Internet Explorer 8, mais elle rend plus difficile son exploitation fiable par les sites Web malveillants.
• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Un attaquant ayant exploité avec succès cette vulnérabilité peut obtenir des droits d'utilisateur identiques à ceux de l'utilisateur local ou du compte d'utilisateur ASP.NET. Les utilisateurs ou les comptes configurés avec des privilèges moins élevés sur le système subiront un impact inférieur à ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Désactivez les applications Microsoft .NET de confiance partielle

  Pour désactiver toutes les applications Microsoft .NET s'exécutant avec une confiance partielle, y compris les XBAP et les applications Microsoft .NET situées sur le réseau, exécutez les commandes suivantes depuis une invite de commandes avec privilèges élevés :

  caspol –pp off caspol –m –resetlockdown caspol –pp on

  Remarque : Vous devez avoir ouvert une session en tant qu'administrateur ou posséder des autorisations d'administration pour mettre en œuvre cette solution de contournement.

  Impact de cette solution de contournement. Certaines applications Microsoft .NET ne s'exécuteront pas.

  Comment annuler la solution de contournement.

  Pour réinitialiser les stratégies de sécurité Microsoft .NET avec les valeurs par défaut, exécutez les commandes suivantes depuis une invite de commandes avec privilèges élevés :

  caspol –pp off caspol –m –reset caspol –pp on

  Remarque : Vous devez avoir ouvert une session en tant qu'administrateur ou posséder des autorisations d'administration pour annuler cette solution de contournement.

• Désactivez les applications du navigateur XAML dans Internet Explorer

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres de manière à ce qu'ils vous avertissent avant d'exécuter les applications du navigateur XAML ou qu'ils désactivent les XBAP dans les zones de sécurité Internet et Intranet local.

  1. Menu Outils, puis sélectionner Options Internet.
  2. Onglet Sécurité, cliquez sur Internet, puis sur Personnaliser le niveau.
  3. Paramètres, pour XAML isolé, cliquez sur Demander ou Désactiver, puis cliquez sur OK. Répétez ces étapes pour Applications du navigateur XAML et Documents XPS.
  4. Onglet Sécurité, cliquez sur Personnaliser le niveau, sous Composants dépendants du .NET Framework, pour Exécuter des composants non signés avec Authenticode, cliquez sur Demander ou sur Désactiver, puis cliquez sur OK. Répétez ces étapes pour Exécuter des composants signés avec Authenticode, puis cliquez sur OK.
  5. Intranet local, puis cliquez sur Personnaliser le niveau. Répétez les étapes 3 et 4. Si vous êtes invité à confirmer la modification de ces paramètres, cliquez sur Oui. Cliquez sur OK pour retourner dans Internet Explorer.

  Impact de cette solution de contournement. Le code Microsoft .NET ne s'exécutera pas dans Internet Explorer ou ne s'exécutera pas sans invite. La désactivation des applications et des composants Microsoft .NET dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Comment annuler la solution de contournement.

  1. Menu Outils, puis sélectionner Options Internet.
  2. Onglet Sécurité, cliquez sur Rétablir toutes les zones au niveau par défaut, puis cliquez sur OK.
• Désactivez temporairement le contrôle ActiveX Microsoft Silverlight dans Internet Explorer pour Windows XP Service Pack 2

  Vous pouvez également vous protéger contre ces vulnérabilités en empêchant momentanément le contrôle ActiveX Silverlight de s'exécuter dans Internet Explorer. Vous pouvez utiliser la fonction de gestion des modules complémentaires d'Internet Explorer pour désactiver le contrôle ActiveX.

  1. Menu Outils, puis sélectionnez Gérer les modules complémentaires.
  2. Microsoft Silverlight.
  3. Désactiver, puis cliquez sur OK.

  Remarque : Si vous ne trouvez pas le contrôle ActiveX, utilisez le menu déroulant pour passer de « Modules complémentaires actuellement chargés dans Internet Explorer » à « Modules complémentaires qui ont été utilisés par Internet Explorer » ou de « Modules complémentaires actuellement chargés » à « Tous les modules complémentaires » et suivez les étapes 2 et 3. Si le contrôle ActiveX ne figure pas dans la liste, cela signifie que vous n'avez jamais utilisé ce contrôle ActiveX auparavant ou qu'il n'est pas installé sur votre système.

  Remarque : Cette solution de contournement s'adresse uniquement aux systèmes sur lesquels Silverlight est déjà installé et ne peut pas être utilisée de manière proactive sur les systèmes sur lesquels Silverlight n'est pas encore installé.

  Pour plus d'informations sur la fonction de gestion des modules complémentaires d'Internet Explorer sous Windows XP Service Pack 2, consultez l'Article 883256 de la Base de connaissances Microsoft.

  Impact de cette solution de contournement. Les applications et sites Web qui requièrent le contrôle ActiveX Microsoft Silverlight risquent de ne plus fonctionner correctement. Si vous appliquez cette solution, elle affectera tous les contrôles ActiveX Silverlight installés sur votre système.

  Comment annuler la solution de contournement.

  1. Menu Outils, puis sélectionnez Gérer les modules complémentaires.
  2. Microsoft Silverlight, cliquez sur Activer, puis cliquez sur OK.
• Bloquez temporairement l'exécution du contrôle ActiveX Microsoft Silverlight dans Internet Explorer.

  Vous pouvez également vous protéger contre ces vulnérabilités en empêchant momentanément les tentatives de création d'instance du contrôle ActiveX Silverlight dans Internet Explorer en définissant le kill bit pour le contrôle.

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.

  Nous vous conseillons de sauvegarder le registre avant de le modifier.

  Utilisez le texte suivant pour créer un fichier .reg qui neutralise temporairement les tentatives d'instanciation du contrôle ActiveX Silverlight dans Internet Explorer. Vous pouvez copier le texte suivant, le coller dans un éditeur de texte tel que le Bloc-Notes puis l'enregistrer en lui donnant une extension de fichier .reg. Exécutez le fichier .reg sur le client vulnérable.

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]

  Arrêtez puis redémarrez Internet Explorer pour que vos changements prennent effet.

  Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Internet Explorer, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez ces étapes et créez une valeur « Compatibility Flags » dans le Registre afin d'empêcher le contrôle ActiveX Silverlight de s'exécuter dans Internet Explorer.

  Impact de cette solution de contournement. Les applications et sites Web qui requièrent le contrôle ActiveX Microsoft Silverlight risquent de ne plus fonctionner correctement. Si vous appliquez cette solution, elle affectera tous les contrôles ActiveX Silverlight installés sur votre système.

  Comment annuler la solution de contournement. Supprimez les clés de Registre ajoutées pour empêcher temporairement les tentatives de création d'instance du contrôle ActiveX Silverlight dans Internet Explorer.

Quelle est la portée de cette vulnérabilité ?  
Cette vulnérabilité est une vulnérabilité d'exécution de code à distance dans le contexte de l'utilisateur actuellement connecté, ou dans le contexte du compte de service associé à une identité de pool d'applications.

Quelle est la cause de cette vulnérabilité ?  
Cette vulnérabilité est le résultat de la manière par laquelle Microsoft .NET Common Language Runtime (CLR) gère les interfaces.

Qu'est-ce que le CLR ?  
Microsoft .NET Framework fournit un environnement d'exécution appelé Common Language Runtime (CLR), qui exécute le code et fournit des services qui facilitent le processus de développement. Pour plus d'informations sur le CLR, consultez la Présentation du service CLR (en anglais).

Qu'est-ce qu'un XBAP ?  
Une application du navigateur XAML (XBAP) combine des fonctionnalités d'une application Web et d'une application cliente riche. Comme les applications Web, les XBAP peuvent être publiées sur un serveur Web et lancées à partir d'Internet Explorer. Comme les applications clientes riches, les XBAP peuvent tirer parti des capacités de Windows Presentation Foundation (WPF). Pour plus d'informations sur les XBAP, consultez la Vue d'ensemble des applications du navigateur XAML Windows Presentation Foundation.

Qu'est-ce que Silverlight ?  
Microsoft Silverlight est une implémentation inter-navigateurs, inter-plates-formes de Microsoft .NET Framework pour la création d'expériences multimédia et d'applications interactives riches pour le Web. Pour plus d'informations, consultez Le site officiel de Silverlight.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Dans un scénario d'hébergement Web, un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que le compte de service associé à l'identité de pool d'applications du pool d'applications sous lequel une application Microsoft .NET s'exécute. En fonction de la configuration d'isolation du pool d'applications et des autorisations accordées au compte de service, un attaquant pourrait pouvoir prendre le contrôle d'autres pools d'applications sur le serveur Web ou prendre le contrôle intégral du système affecté. Pour plus d'informations sur les identités et la configuration de pool d'applications, consultez Configurer l'identité d'un pool d'applications (en anglais).

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Il existe trois scénarios possibles d'exploitation de cette vulnérabilité : Un scénario de navigation Web, un scénario d'hébergement Web et un scénario d'application de Microsoft .NET Framework. Ces scénarios sont décrits ci-dessous.

• Scénario de navigation Web
  Un attaquant pourrait héberger un site Web spécialement conçu contenant une XBAP (application du navigateur XAML) ou une application Silverlight spécialement conçues et pouvant exploiter cette vulnérabilité, puis convaincre un utilisateur d'afficher le site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
• Scénario d'hébergement Web
  Si un environnement d'hébergement Web permet à des utilisateurs de télécharger des applications ASP.NET personnalisées, un attaquant pourrait télécharger une application ASP.NET malveillante utilisant cette vulnérabilité pour quitter le bac à sable utilisé pour empêcher le code ASP.NET d'exécuter des actions nuisibles sur le système serveur.
• Scénario d'application Microsoft .NET Framework
  Un attaquant pourrait placer une application Microsoft .NET Framework malveillante sur un partage réseau et convaincre des utilisateurs sur ce réseau d'exécuter cette application.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Il existe deux types de systèmes exposés à cette vulnérabilité, décrits ci-dessous : les systèmes qui utilisent le scénario de navigation Web et ceux qui utilisent le scénario d'hébergement Web.

• Scénario de navigation Web
  Le succès de l'exploitation de cette vulnérabilité nécessite qu'un utilisateur ait ouvert une session et visite des sites Web à l'aide d'un navigateur Web capable d'instancier des XBAP ou des applications Silverlight. C'est pourquoi les systèmes sur lesquels un navigateur Internet est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à naviguer sur Internet et à consulter leur messagerie électronique depuis ceux-ci. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.
• Scénario d'hébergement Web
  Les sites d'hébergement Web qui permettent aux utilisateurs de télécharger des applications ASP.NET personnalisées sont les plus exposés.

J'exécute Internet Explorer sur Windows Server 2003 ou Windows Server 2008. Ceci limite-t-il cette vulnérabilité ? 
Oui et non. Pour le scénario d'attaque de navigation Web, l'exécution d'Internet Explorer sur Windows Server 2003 et Windows Server 2008 atténue la vulnérabilité, mais en ce qui concerne le scénario d'attaque d'hébergement Web et d'application Microsoft .NET, ces plates-formes n'atténuent pas la vulnérabilité. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».

J'ai écrit une application Microsoft .NET ou une application Silverlight. Dois-je la recompiler ? 
Les applications Microsoft .NET et Silverlight qui ne sont pas malveillantes ne risquent pas d'être compromises en raison de cette vulnérabilité et ne nécessitent pas d'être recompilées. Seules les applications conçues de manière malveillante pourraient exploiter cette vulnérabilité.

Que fait cette mise à jour ?  
Cette mise à jour modifie la façon dont le CLR Microsoft .NET gère les interfaces.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2009-2497.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n'avait pas la connaissance de la publication d'un tel code.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Remarque : Pour Windows XP Professionnel Édition x64, cette mise à jour de sécurité est identique à celle de Windows Server 2003 Édition x64.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.