Avis de sécurité
Conseils de sécurité Microsoft 922437
Code exploit publié affectant le service serveur
Publication : 11 août 2006 | Mise à jour : 13 août 2006
Microsoft est conscient des rapports publics concernant une attaque connue sous le nom de Win32/Graweg exploitant la vulnérabilité traitée par la mise à jour de sécurité MS06-040. L’enquête initiale de Microsoft sur Win32/Graweg a vérifié qu’elle affecte uniquement les utilisateurs exécutant Windows 2000 qui n’ont pas appliqué la mise à jour détaillée dans MS06-040. Microsoft a activé son processus de réponse d’urgence et continue d’examiner ce problème.
Les partenaires Microsoft Security Response Alliance ainsi que nos propres équipes internes ont déterminé qu’il n’y a pas d’impact sur le client répandu et ont évalué Win32/Graweg comme une menace faible. À ce stade, il ne semble pas être un ver à l’échelle de l’Internet autoréplicable.
Microsoft continue de recommander aux clients d’appliquer les mises à jour d’août dès que possible avec une urgence supplémentaire et une considération supplémentaire donnée à la mise à jour détaillée dans MS06-040. Les clients peuvent s’assurer que les mises à jour sont installées en activant la fonctionnalité de Mises à jour automatique dans Windows ou en utilisant leur infrastructure de déploiement dans leur entreprise ou leur petite entreprise.
Les clients qui croient qu’ils sont infectés ou ne sont pas sûrs s’ils sont infectés par Win32/Graweg doivent visiter Coffre ty.live.com et choisir « Analyse de la protection ». De plus, Windows Live OneCare de Microsoft fournit une détection contre Win32/Graweg et ses variantes connues.
Les clients qui croient qu’ils ont été attaqués devraient contacter leur bureau local du FBI ou signaler leur situation à www.ic3.gov. Les clients extérieurs aux États-Unis doivent contacter l’agence nationale d’application de la loi dans leur pays Clients qui croient qu’ils sont affectés peuvent contacter les services de support technique. Contactez les services de support technique dans Amérique du Nord pour obtenir de l’aide sur les problèmes de mise à jour de sécurité ou les virus sans frais à l’aide de la ligne pc Coffre ty (1866-PCSAFETY) et des clients internationaux à l’aide de n’importe quelle méthode trouvée à cet emplacement : https :.
Facteurs d’atténuation :
- Les clients qui ont installé la mise à jour de sécurité MS06-040 ne sont pas affectés par cette vulnérabilité.
- Bien que l’installation de la mise à jour soit l’action recommandée, les clients qui ont appliqué les atténuations identifiées dans MS06-040 auront réduit leur exposition et leur exploitabilité potentielle contre une attaque.
Informations générales
Vue d’ensemble
Objectif de l’avis : notification de la disponibilité d’une mise à jour de sécurité pour vous protéger contre cette menace potentielle.
État consultatif : étant donné que ce problème est déjà résolu dans le cadre du bulletin de sécurité MS06-040 , aucune mise à jour supplémentaire n’est requise.
Recommandation : Installez la mise à jour de sécurité MS06-040 pour vous protéger contre cette vulnérabilité.
| Références | Identification |
|---|---|
| Référence CVE | CVE-2006-3439 |
| Bulletin de sécurité | MS06-040 |
Cet avis traite du logiciel suivant.
| Logiciel associé |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
Microsoft est conscient de la publication publique de code d’exploitation ciblant la vulnérabilité identifiée dans Microsoft Security Update MS06-040. Cela affecte le logiciel répertorié dans la section « Vue d’ensemble »
S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Non. Les clients qui ont installé la mise à jour de sécurité MS06-040 ne sont pas affectés par cette vulnérabilité. Aucune mise à jour supplémentaire n’est requise.
Quelles sont les causes de la vulnérabilité ?
Mémoire tampon non case activée dans le service serveur.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut essayer d’exploiter la vulnérabilité en créant un message spécialement conçu et en envoyant le message à un système affecté. Le message peut alors entraîner l’exécution du code par le système concerné.
Qu’est-ce que le service serveur ?
Le service serveur fournit la prise en charge RPC, la prise en charge de l’impression des fichiers et le partage de canal nommé sur le réseau. Le service serveur permet le partage de vos ressources locales (telles que les disques et les imprimantes) afin que d’autres utilisateurs sur le réseau puissent y accéder. Il autorise également la communication par canal nommé entre les applications s’exécutant sur d’autres ordinateurs et votre ordinateur, qui est utilisée pour RPC.
Qu’est-ce qu’un attaquant peut utiliser cette fonction pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet du système concerné.
Existe-t-il des problèmes connus liés à l’installation de Microsoft Security Update MS06-040 qui protège contre cette menace ?
Non. Microsoft continue d’encourager les clients à installer la mise à jour immédiatement.
Actions suggérées
Si vous avez installé la mise à jour publiée avec le Bulletin de sécurité MS06-040, vous êtes déjà protégé de l’attaque identifiée dans la preuve de concept publiée publiquement. Si vous n’avez pas installé les clients de mise à jour, vous êtes invité à appliquer les atténuations identifiées MS06-040.
Conserver Windows mis à jour
Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez le site web Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.
Bloquer les ports TCP 139 et 445 sur le pare-feu
Ce port est utilisé pour lancer une connexion avec le protocole affecté. Les blocages au niveau du pare-feu, tant entrants que sortants, empêchent les systèmes qui se trouvent derrière ce pare-feu d’exploiter cette vulnérabilité. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées à partir d’Internet pour empêcher les attaques susceptibles d’utiliser d’autres ports. Pour plus d’informations sur les ports, visitez le site web suivant.
Activer le filtrage TCP/IP avancé sur les systèmes
Vous pouvez activer le filtrage TCP/IP avancé pour bloquer tout le trafic entrant non sollicité. Pour plus d’informations sur la configuration du filtrage TCP/IP, consultez l’article de la Base de connaissances Microsoft 309798.
Bloquer les ports affectés à l’aide d’IPsec sur les systèmes concernés
Utilisez la sécurité du protocole Internet (IPsec) pour protéger les communications réseau. Des informations détaillées sur IPsec et sur la façon d’appliquer des filtres sont disponibles dans l’article 313190 de la Base de connaissances Microsoft et l’article de la Base de connaissances Microsoft 813878.
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre PC pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en consultant le site Web Protéger votre PC.
Pour plus d’informations sur la sécurité sur Internet, les clients peuvent visiter lapage d’accueil de la sécurité Microsoft.
Les clients qui croient qu’ils ont été attaqués devraient contacter leur bureau local du FBI ou publier leur plainte sur le site web du Centre de plaintes de fraude Internet. Les clients extérieurs aux États-Unis doivent contacter l’agence nationale d’application de la loi dans leur pays. Tous les clients doivent appliquer les dernières mises à jour de sécurité publiées par Microsoft pour vous assurer que leurs systèmes sont protégés contre les tentatives d’exploitation. Les clients qui ont activé l’Mises à jour automatique recevront automatiquement toutes les mises à jour Windows. Pour plus d’informations sur les mises à jour de sécurité, visitez le site web de sécurité Microsoft.
Autres informations
Ressources :
- Vous pouvez fournir des commentaires en remplissant le formulaire en visitant le site web suivant.
- Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services. Pour plus d’informations sur les options de support disponibles, consultez le site Web aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le site web du support international.
- Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité :
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions:
- 11 août 2006 : Avis publié.
- 13 août 2006 : Avis mis à jour pour les activités détaillées liées à Win32/Graweg.
Construit à 2014-04-18T13 :49 :36Z-07 :00</https :>