• Article

Avis de sécurité

Conseils de sécurité Microsoft 974926

Attaques de relais d’informations d’identification sur l’authentification Windows intégrée

Publication : 08 décembre 2009

Version : 1.0

Cet avis traite du risque d’attaques qui affectent la gestion des informations d’identification à l’aide de l’authentification Windows intégrée (IWA) et les mécanismes que Microsoft a mis à la disposition des clients pour vous protéger contre ces attaques.

Dans ces attaques, un attaquant capable d’obtenir les informations d’identification d’authentification de l’utilisateur lors du transfert entre un client et un serveur peut refléter ces informations d’identification vers un service s’exécutant sur le client, ou les transférer vers un autre serveur sur lequel le client a un compte valide. Cela permettrait à l’attaquant d’accéder à ces ressources, en empruntant l’identité du client. Étant donné que les informations d’identification IWA sont hachées, un attaquant ne peut pas l’utiliser pour déterminer le nom d’utilisateur et le mot de passe réels.

Selon le scénario et l’utilisation de vecteurs d’attaque supplémentaires, un attaquant peut être en mesure d’obtenir des informations d’identification d’authentification à la fois à l’intérieur et à l’extérieur du périmètre de sécurité de l’organisation et de les utiliser pour obtenir un accès inapproprié aux ressources.

Microsoft traite de l’impact potentiel de ces problèmes à différents niveaux et souhaite rendre les clients conscients des outils mis à disposition pour résoudre ces problèmes et l’impact de l’utilisation de ces outils. Cet avis contient des informations sur les différentes actions que Microsoft a prises pour améliorer la protection des informations d’identification d’authentification IWA et la façon dont les clients peuvent déployer ces protections.

Facteurs d’atténuation :

  • Pour relayer les informations d’identification, un attaquant doit tirer parti d’une autre vulnérabilité pour exécuter une attaque de type man-in-the-middle ou convaincre la victime, à l’aide de l’ingénierie sociale, de se connecter à un serveur sous le contrôle de l’attaquant, par exemple en envoyant un lien dans un message électronique malveillant.
  • Internet Explorer n’envoie pas automatiquement d’informations d’identification à l’aide de HTTP aux serveurs hébergés dans la zone Internet. Cela réduit le risque que les informations d’identification puissent être transférées ou reflétées par un attaquant dans cette zone.
  • Le trafic entrant doit être autorisé au système client pour qu’une attaque de réflexion réussisse. Le vecteur d’attaque le plus courant est S Mo, car il autorise l’authentification IWA. Les hôtes derrière un pare-feu qui bloque le trafic S Mo ou les hôtes qui bloquent le trafic S Mo sur un pare-feu hôte ne sont pas vulnérables aux attaques de réflexion NTLM les plus courantes, qui ciblent S Mo.

Informations générales

Vue d’ensemble

Objectif de l’avis : Pour clarifier les actions que Microsoft effectue pour étendre la protection des informations d’identification de l’utilisateur lors de l’utilisation de l’authentification Windows intégrée (IWA).

État de l’avis : avis publié.

Recommandation : passez en revue les actions suggérées et configurez-les selon les besoins.

Références Identification
Article de la Base de connaissances Microsoft 974926

Cet avis traite du logiciel suivant.

Logiciel affecté
Windows XP Service Pack 2 et Windows XP Service Pack 3
Windows XP pour systèmes x64 Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 pour systèmes x64 Service Pack 2
Windows Server 2003 pour les systèmes Itanium Service Pack 2
Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 et Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pour les systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour les systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour les systèmes Itanium et Windows Server 2008 pour les systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits*
Windows 7 pour systèmes x64*
Windows Server 2008 R2 pour systèmes x64*
Windows Server 2008 R2 pour les systèmes Itanium*

*Windows 7 et Windows Server 2008 R2 fournissent une protection étendue pour l’authentification en tant que fonctionnalité de l’interface du fournisseur de support de sécurité (SSPI). Les applications exécutées sur ces systèmes d’exploitation peuvent toujours être exposées au relais d’informations d’identification si le système d’exploitation ou l’application n’est pas configuré pour prendre en charge cette fonctionnalité. La protection étendue pour l’authentification n’est pas activée par défaut.

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Cet avis de sécurité fournit une vue complète de la stratégie que Microsoft applique pour se protéger contre le relais d’informations d’identification. Il fournit une vue d’ensemble des mises à jour actuellement disponibles pour résoudre ce problème de manière complète.

Quelles sont les causes de cette menace ?
Cet avis traite du potentiel de relais d’authentification. Ces attaques se produisent lorsqu’un attaquant réussit à obtenir des informations d’identification d’authentification, par exemple par le biais d’une attaque man-in-the-middle, ou en convainquant un utilisateur de cliquer sur un lien. Ce lien peut entraîner l’accès du client à un service contrôlé par l’attaquant qui demande à l’utilisateur de s’authentifier à l’aide d’IWA.

Les formes de relais d’informations d’identification mentionnées dans cet avis sont les suivantes :

  • Transfert d’informations d’identification : les informations d’identification de domaine obtenues par un attaquant peuvent être utilisées pour se connecter à d’autres services auxquels la victime est connue pour avoir accès. L’attaquant peut alors acquérir des autorisations identiques à celles de la victime sur le service cible.
  • Réflexion sur les informations d’identification : les informations d’identification de domaine obtenues par un attaquant peuvent être utilisées pour se reconnecter à l’ordinateur de la victime. L’attaquant acquiert ensuite des autorisations sur cet ordinateur identique à celui de la victime.

Pour que ces attaques réussissent, un attaquant nécessite qu’un utilisateur se connecte au serveur de l’attaquant. Cela peut être effectué par des attaques impliquant l’attaquant présent sur le réseau local, comme l’empoisonnement du cache ARP (Address Resolution Protocol).

L’impact de ces attaques augmente lorsqu’un attaquant convainc un utilisateur de se connecter à un serveur en dehors de la limite organisationnelle. Les scénarios spécifiques qui peuvent permettre cette opération se produisent comme suit :

  • Dévolution DNS, fonctionnalité de client DNS Windows qui permet aux clients DNS Windows de résoudre les requêtes DNS pour les noms d’hôte non qualifiés à étiquette unique. Un utilisateur malveillant peut inscrire un nom d’hôte spécifique en dehors de la limite de l’organisation qui, si les clients sont configurés de manière incorrecte, peuvent être contactés involontairement par un client lorsqu’il se dévole en dehors de la limite de l’organisation lors de la tentative d’accès à ce nom d’hôte.
  • Usurpation DNS, où un attaquant pourrait exploiter des vulnérabilités dans le système DNS (Domain Name System) Windows, autorisant l’usurpation d’identité. Ces attaques peuvent permettre à un attaquant distant de rediriger le trafic réseau destiné aux systèmes sur Internet vers le système de l’attaquant.
  • Usurpation d’identité du service de noms NetBIOS (NBNS), où l’utilisateur est invité à exécuter une applet de code active spécialement conçue (par exemple Java ou Flash) qui initie une requête pour un nom d’hôte local, puis introduit des réponses NBNS usurpées au client avec une adresse IP distante. Lors de la connexion à ce nom d’hôte, le client considère qu’il s’agit d’un ordinateur local et tente des informations d’identification IWA, exposant ainsi ces informations à l’attaquant distant ;

Microsoft a publié plusieurs mises à jour pour aider à résoudre ces scénarios et ce conseil vise à résumer la façon dont les clients peuvent mieux évaluer les risques et les problèmes dans leur scénario de déploiement spécifique.

Qu’est-ce que l’authentification Windows intégrée (IWA) ?
Avec l’authentification Windows intégrée (anciennement NTLM, et également appelée authentification de défi/réponse Windows NT), le nom d’utilisateur et le mot de passe (informations d’identification) sont hachés avant d’être envoyés sur le réseau. Lorsque vous activez l’authentification Windows intégrée, le client prouve sa connaissance du mot de passe via un échange de chiffrement haché avec votre serveur web. L’authentification Windows intégrée inclut les méthodes d’authentification Negotiate, Kerberos et NTLM.

Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. L’attaquant peut surveiller et lire le trafic avant de l’envoyer au destinataire prévu. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec la partie prévue.

Quelles actions Microsoft a-t-il prises pour résoudre les attaques d’usurpation DNS ?
Microsoft a publié les bulletins de sécurité suivants pour traiter les attaques d’usurpation DNS :

  • MS08-037 résout deux vulnérabilités qui pourraient permettre à un attaquant d’usurper des enregistrements DNS et de les insérer dans le cache du serveur DNS.
  • MS09-008 traite deux vulnérabilités qui pourraient permettre à un attaquant d’usurper des enregistrements DNS et de les insérer dans le cache du serveur DNS, et deux vulnérabilités qui pourraient permettre à un attaquant d’inscrire malveillantment des noms d’hôtes liés à l’infrastructure réseau (WPAD et ISATAP) qui pourraient être utilisés pour prendre en charge d’autres attaques.

Quelles actions Microsoft a-t-il prises pour résoudre les attaques d’usurpation d’identité NBNS ?
Microsoft a travaillé avec les fournisseurs tiers affectés par cette vulnérabilité et a implémenté l’atténuation contre ce vecteur d’attaque. Ce problème a été abordé dans Adobe Flash Player dans le Bulletin de sécurité Adobe APSB08-11 et dans l’environnement d’exécution Sun Java dans l'103079 d’alerte sun.

Qu’est-ce que l’empoisonnement du cache ARP (Address Resolution Protocol) ?
L’empoisonnement du cache ARP est une attaque qui se compose de l’ordinateur d’un attaquant, présent sur le même sous-réseau que la victime, en envoyant des réponses ARP usurpées ou gratuites. Celles-ci tentent généralement de confondre les clients en croyant que l’attaquant est la passerelle par défaut sur le réseau et entraîne l’envoi d’informations à l’attaquant par l’ordinateur victime par opposition à la passerelle. Une telle attaque peut être exploitée pour mettre en place une attaque de type man-in-the-middle.

Qu’est-ce que TLS (Transport Layer Security) ?
Le protocole tls (Transport Layer Security) est responsable de l’authentification et de l’échange de clés nécessaires pour établir ou reprendre des sessions sécurisées. Lors de l’établissement d’une session sécurisée, le protocole De liaison gère les opérations suivantes :

  • Négociation de suite de chiffrement
  • Authentification du serveur et éventuellement, le client
  • Échange d’informations sur la clé de session

Pour plus d’informations, consultez l’article TechNet sur le fonctionnement de TLS/SSL.

Quelles sont les versions de Windows associées à cet avis ?
Le transfert et la réflexion des informations d’identification affectent toutes les plateformes qui ont la possibilité d’effectuer l’authentification Windows intégrée. La fonctionnalité Protection étendue pour l’authentification est incluse dans Windows 7 et Windows Server 2008 R2, et a été mise à disposition pour Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 dans une mise à jour non liée à la sécurité publiée en tant que conseil de sécurité Microsoft 973811. Pour protéger entièrement les informations d’identification d’authentification, des applications spécifiques sur ces systèmes d’exploitation doivent toujours opter pour le mécanisme. La fonctionnalité protection étendue n’est pas disponible pour le système d’exploitation Microsoft Windows 2000.

Quelles actions Microsoft a-t-elle prises pour traiter les attaques de réflexion des informations d’identification ?
Les applications sont protégées contre les attaques de réflexion des informations d’identification si elles utilisent correctement le nom du principal de service (SPN) lors de l’authentification auprès d’un service.

Avant la publication de cet avis de sécurité, Microsoft avait publié les mises à jour de sécurité suivantes pour s’assurer que les composants Windows et les applications Microsoft optent correctement dans ce mécanisme pour assurer la protection contre les attaques de réflexion des informations d’identification :

  • Le Bulletin de sécurité Microsoft MS08-068 traite de la réflexion des informations d’identification lors de la connexion au serveur S Mo d’un attaquant.
  • Le Bulletin de sécurité Microsoft MS08-076 traite de la réflexion des informations d’identification lors de la connexion au serveur Windows Media d’un attaquant.
  • Le Bulletin de sécurité Microsoft MS09-013 traite de la réflexion des informations d’identification lors de la connexion au serveur web d’un attaquant à l’aide de l’interface de programmation d’applications WinHTTP.
  • Le Bulletin de sécurité Microsoft MS09-014 traite de la réflexion des informations d’identification lors de la connexion au serveur web d’un attaquant à l’aide de l’interface de programmation d’applications WinINET.
  • Le Bulletin de sécurité Microsoft MS09-042 traite de la réflexion des informations d’identification lors de la connexion au serveur telnet d’un attaquant.

Quelles actions Microsoft a-t-elle prises pour traiter les attaques de transfert d’informations d’identification ?
Une certaine protection contre le transfert d’informations d’identification est fournie par l’interface du fournisseur de support (SSPI) Sécurité Windows. Cette interface est implémentée dans Windows 7 et Windows Server 2008 R2 et a été mise à disposition en tant que mise à jour sans sécurité pour Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.

Pour être protégées, des mises à jour non liées à la sécurité supplémentaires doivent être déployées pour fournir la même protection pour des composants et applications client et serveur spécifiques. Cette fonctionnalité applique des modifications à l’authentification à la fois sur la fin du client et du serveur et doit être déployée avec soin. Vous trouverez plus d’informations sur la protection étendue pour l’authentification et les mises à jour non liées à la sécurité publiées pour implémenter ce mécanisme dans microsoft Security Advisory 973811.

Comment ces mises à jour traitent-elles des attaques de transfert d’informations d’identification ?
La mise à jour de sécurité SSPI non liée à Microsoft Security Advisory 973811 modifie l’SSPI afin d’étendre le mécanisme d’authentification Windows intégré (IWA) actuel afin que les demandes d’authentification puissent être liées à la fois au SPN du serveur auquel le client tente de se connecter, ainsi qu’au canal TLS (Transport Layer Security) externe sur lequel l’authentification IWA a lieu, si ce canal existe. Il s’agit d’une mise à jour de base qui ne traite pas d’une vulnérabilité de sécurité en soi, mais qui le déploie en tant que fonctionnalité facultative que les fournisseurs d’applications peuvent choisir de configurer.

Les mises à jour non liées à la sécurité spécifiques à l’application modifient les composants système individuels qui effectuent l’authentification IWA afin que les composants optent pour les mécanismes de protection implémentés par la mise à jour non de sécurité de la couche 1. Pour plus d’informations sur l’activation de la protection étendue pour l’authentification, consultez les 973811 de conseil de sécurité Microsoft et l’article de la base de connaissances Microsoft correspondant 973811.

Quelles actions Microsoft a-t-il prises pour traiter la dévolution DNS ?
La dévolution DNS peut être utilisée comme vecteur d’attaque pour exploiter cette vulnérabilité en dehors d’un réseau d’entreprise. La dévolution est une fonctionnalité de client DNS Windows par laquelle les clients DNS Windows résolvent les requêtes DNS pour les noms d’hôte non qualifiés à étiquette unique. Les requêtes sont construites en ajoutant le suffixe DNS principal (PDS) au nom d’hôte. La requête est retentée en supprimant systématiquement l’étiquette la plus à gauche dans le PDS jusqu’à ce que le nom d’hôte et le pdS restant soit résolu, ou seulement deux étiquettes restent dans le PDS supprimé. Par exemple, les clients Windows qui recherchent « Étiquette unique » dans le domaine western.corp.contoso.co.us interrogent progressivement Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us, puis Single-label.co.us jusqu’à ce qu’il trouve un système qui se résout. Ce processus est appelé dévolution.

Un attaquant peut héberger un système avec un nom d’étiquette unique en dehors de la limite d’une organisation et, en raison de la dévolution DNS, un client DNS Windows peut s’y connecter comme s’il était à l’intérieur de la limite organisationnelle. Par exemple, si le suffixe DNS d’une entreprise est corp.contoso.co.us et qu’une tentative est effectuée pour résoudre un nom d’hôte non qualifié de « Single-Label », le programme de résolution DNS essaie Single-Label.corp.contoso.co.us. S’il est introuvable, il essaie, via la dévolution DNS, de résoudre Single-label.contoso.co.us. S’il est introuvable, il tente de résoudre Single-label.co.us, qui se trouve en dehors du domaine contoso.co.us. Ce processus est appelé dévolution.

Par exemple, si ce nom d’hôte est WPAD, un attaquant qui configure WPAD.co.us peut fournir un fichier de découverte automatique de proxy web malveillant pour configurer les paramètres du proxy client.

Microsoft a publié des conseils de sécurité 971888 et une mise à jour associée pour fournir aux organisations un contrôle plus précis sur la façon dont les clients Windows effectuent la dévolution DNS. Cette mise à jour permet à une organisation d’empêcher les clients de se dévoler en dehors de la limite organisationnelle.

Que peuvent faire les développeurs tiers pour résoudre le relais d’informations d’identification ?
Les développeurs tiers doivent envisager d’implémenter la protection étendue pour l’authentification en optant pour ce nouveau mécanisme de protection décrit dans microsoft Security Advisory 973811.

Pour plus d’informations sur la façon dont les développeurs peuvent opter pour ce mécanisme, consultez l’article MSDN, Authentification Windows intégrée avec protection étendue.

Qu’est-ce qu’un nom de principal de service (SPN) ?
Un nom de principal de service (SPN) est le nom par lequel un client identifie de manière unique une instance d’un service. Si vous installez plusieurs instances d’un service sur des ordinateurs sur un réseau, chaque instance doit avoir son propre SPN. Une instance de service donnée peut posséder plusieurs noms SPN si les clients peuvent utiliser plusieurs noms pour l'authentification. Par exemple, un SPN inclut toujours le nom de l’ordinateur hôte sur lequel l’instance de service est en cours d’exécution. Par conséquent, une instance de service peut inscrire un SPN pour chaque nom ou alias de son hôte.

Actions suggérées

  • Passez en revueles 973811 de conseil de sécurité Microsoft, la protection étendue pour l’authentification et implémentez les mises à jour associées.
    Cet avis de sécurité annonce la publication de mises à jour non liées à la sécurité qui implémentent la protection étendue pour l’authentification. Cette fonctionnalité permet de protéger les tentatives d’authentification contre les attaques de relais.
  • Passez en revueles 971888 de conseils de sécurité Microsoft, Mise à jour pour la dévolution DNS
    Cet avis de sécurité annonce la publication d’une mise à jour facultative non liée à la sécurité qui permet aux administrateurs système de configurer la dévolution DNS avec une plus grande spécificité.
  • Consultez l’article de la Base de connaissances Microsoft associé à cet avis
    Les clients qui souhaitent en savoir plus sur cet avis de sécurité doivent consulter l’article 974926 de la Base de connaissances Microsoft.
  • Protéger votre PC
    Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant Protéger votre ordinateur.
  • Pour plus d’informations sur la sécurité sur Internet, les clients doivent visiter Microsoft Security Central.
  • Conserver Windows mis à jour
    Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.

Solutions de contournement

Un certain nombre de solutions de contournement existent pour protéger les systèmes contre la réflexion des informations d’identification ou les attaques de transfert d’informations d’identification. Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée dans la section suivante.

Bloquer les ports TCP 139 et 445 sur le pare-feu

Dans le cas des attaques de réflexion des informations d’identification, les connexions entrantes utilisant les informations d’identification relayées sont probablement sur les services S Mo ou RPC. Le blocage des ports TCP 139 et 445 sur le pare-feu permet de protéger les systèmes derrière ce pare-feu contre les tentatives d’exploitation de cette vulnérabilité. Microsoft recommande de bloquer toutes les communications entrantes non sollicitées à partir d’Internet pour empêcher les attaques susceptibles d’utiliser d’autres ports. Pour plus d’informations sur les ports, consultez affectations de ports TCP et UDP.

Impact de la solution de contournement : plusieurs services Windows utilisent les ports affectés. Le blocage de la connectivité aux ports peut entraîner la non-fonction de diverses applications ou services. Certaines applications ou services susceptibles d’être affectés sont répertoriés ci-dessous :

  • Applications qui utilisent S Mo (CIFS)
  • Applications qui utilisent des mailslots ou des canaux nommés (RPC sur S Mo)
  • Serveur (Partage de fichiers et d’impression)
  • Stratégie de groupe
  • Net Logon
  • Système de fichiers DFS
  • Licences Terminal Server
  • Spouleur d’impression
  • Explorateur d’ordinateurs
  • RPC Locator
  • Service de télécopie
  • Service d’indexation
  • Journaux et alertes de performance
  • Serveur d’administration des systèmes
  • Service d’enregistrement de licences

Activation de la signature SMB

L’activation de la signature S Mo empêche l’attaquant d’exécuter du code dans le contexte de l’utilisateur connecté. La signature S Mo fournit une authentification mutuelle et de message en plaçant une signature numérique dans chaque S Mo, qui est ensuite vérifiée par le client et le serveur. Microsoft recommande d’utiliser des stratégies de groupe pour configurer la signature S Mo.

Pour obtenir des instructions détaillées sur l’utilisation de la stratégie de groupe pour activer et désactiver la signature S Mo pour Microsoft Windows 2000, Windows XP et Windows Server 2003, consultez l’article 887429 de la Base de connaissances Microsoft. Les instructions de l’article de la Base de connaissances Microsoft 887429 pour Windows XP et Windows Server 2003 s’appliquent également à Windows Vista et Windows Server 2008.

Impact de la solution de contournement : L’utilisation de S Mo signature de paquets peut dégrader les performances sur les transactions de service de fichiers. Les ordinateurs dotés de ce jeu de stratégies ne communiquent pas avec les ordinateurs qui n’ont pas activé la signature de paquet côté client. Pour plus d’informations sur la signature S Mo et les impacts potentiels, consultez le serveur réseau Microsoft : Communications de signature numérique (toujours).

Autres informations

Ressources :

  • Vous pouvez fournir des commentaires en remplissant le formulaire en consultant l’aide et le support Microsoft : Contactez-nous.
  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • V1.0 (8 décembre 2009) : avis publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00