Avis de sécurité Microsoft 2862152
Une vulnérabilité dans DirectAccess et IPsec pourrait permettre un contournement du composant de sécurité
Paru le: mardi 12 novembre 2013 | Mis(e) à jour: vendredi 28 février 2014
Version: 1.1
Informations générales
Synthèse
Microsoft annonce la disponibilité d'une mise à jour pour toutes les versions en cours de support de Windows afin de corriger une vulnérabilité dans la façon dont les connexions serveur sont authentifiées auprès des clients dans des tunnels site à site DirectAccess ou IPsec.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser un serveur DirectAccess spécialement conçu qui se ferait passer pour un serveur DirectAccess légitime afin d'établir des connexions vers des clients DirectAccess légitimes. Le système contrôlé par l'attaquant, qui semble être un serveur légitime, pourrait entraîner l'authentification et la connexion automatique d'un système client auprès du système contrôlé par l'attaquant, permettant à l'attaquant d'intercepter le trafic réseau de l'utilisateur cible et de potentiellement déterminer ses informations d'identification de domaine chiffrées.
Microsoft n'a pas eu connaissance d'attaques actives exploitant cette vulnérabilité depuis la publication de cet Avis.
Recommandation. Microsoft recommande à ses clients d'appliquer cette mise à jour immédiatement à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update.
Remarque : En plus de l'installation de cette mise à jour, des étapes administratives supplémentaires sont nécessaires pour se protéger de la vulnérabilité décrite dans cet Avis. Veuillez consulter la section « Actions suggérées » de cet Avis pour plus d'informations.
Détails de l'Avis
Références sur la vulnérabilité
Pour plus d'informations sur cette vulnérabilité, consultez les références suivantes :
| Références | Identification |
|---|---|
| Référence CVE | CVE-2013-3876 |
| Article de la Base de connaissances Microsoft | 2862152 |
Logiciels concernés
Cet Avis porte sur les logiciels suivants.
Système d'exploitation concerné
| Système d'exploitation |
|---|
| Windows XP Service Pack 3 |
| Microsoft Windows XP Professionnel Édition x64 Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Microsoft Windows Server 2003 Édition x64 Service Pack 2 |
| Microsoft Windows Server 2003 pour systèmes Itanium Service Pack 2 |
| Windows Vista Service Pack 1 |
| Windows Vista Édition x64 Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows Server 2008 pour systèmes Itanium Service Pack 2 |
| Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 |
| Windows 8 pour systèmes 32 bits (sauf édition Embedded) |
| Windows 8 pour systèmes x64 (sauf édition Embedded) |
| Windows Server 2012 |
| Windows RT |
| Windows 8.1 pour systèmes 32 bits |
| Windows 8.1 pour systèmes x64 |
| Windows Server 2012 R2 |
| Windows RT 8.1 |
| Option d'installation Server Core |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) |
| Windows Server 2012 (installation Server Core) |
Forum aux questions relatif à cet Avis
Quelle est la portée de cet Avis?
Le but de cet Avis est d'avertir les clients que Microsoft publie une mise à jour pour DirectAccess et IPsec afin de corriger la vulnérabilité décrite dans cet Avis. Les systèmes d'exploitation concernés par cette vulnérabilité sont répertoriés dans la section « Logiciels concernés ».
Que pourrait faire un attaquant en exploitant cettevulnérabilité?
Dans la plupart des scénarios, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder à n'importe quelle information envoyée par le système ciblé sur le réseau. Le type d'information qui pourrait être exposée n'est pas limité aux données sensibles non chiffrées, mais, dans certains cas, peut également inclure les informations d'authentification de l'utilisateur.
Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Un système contrôlé par un attaquant pourrait se faire passer pour un serveur DirectAccess légitime en installant un certificat de serveur spécialement conçu. Un système ciblé ne pourrait pas discerner le serveur Direct Access de l'attaquant d'un serveur DirectAccess légitime.
Microsoft publiera-t-il d'autres mises à jour pour corriger cette vulnérabilité ?
Non. Microsoft n'a pas l'intention de publier une autre mise à jour que celle publiée avec cet Avis.
Que fait cette mise à jour?
Cette mise à jour empêche le système contrôlé par l'attaquant de se faire passer pour un serveur DirectAccess légitime sans un certificat valide publié par l'organisation à laquelle il appartient. Toutefois, la mise à jour seule ne suffit pas à protéger totalement les clients de la vulnérabilité corrigée dans cet Avis. En plus d'appliquer la mise à jour 2862152, les clients doivent également suivre les conseils de configuration fournis dans l'Article 2862152 de la Base de connaissances Microsoft pour être entièrement protégés de cette vulnérabilité.
Quels conseils supplémentaires les clients doivent-ils suivre pour se protéger de cette vulnérabilité?
La correction de cette vulnérabilité nécessite qu'une entreprise dans laquelle un serveur DirectAccess est déployé crée de nouveaux certificats de serveur, puis les déploie sur son serveur DirectAccess et les systèmes clients. Si ces nouveaux certificats ne sont pas installés avant le déploiement de cette mise à jour, les services DirectAccess resteront non sécurisés. Consultez l'Article 2862152 de la Base de connaissances Microsoft pour savoir quelles étapes de configuration supplémentaires sont nécessaires pour se protéger complètement de cette vulnérabilité.
Actions suggérées
Appliquer la mise à jour pour les versions concernées de Microsoft Windows
La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car la mise à jour 2862152 sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft.
Pour les administrateurs et les installations d'entreprise, ou pour les utilisateurs souhaitant installer la mise à jour 2862152 manuellement, Microsoft recommande d'appliquer cette mise à jour immédiatement à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Pour plus d'informations sur la façon d'appliquer manuellement la mise à jour, consultez l'Article 2862152 de la Base de connaissances Microsoft.
Remarque : En plus de l'installation de cette mise à jour, des étapes administratives supplémentaires sont nécessaires pour se protéger de la vulnérabilité décrite dans cet Avis. Consultez l'Article 2862152 de la Base de connaissances Microsoft pour obtenir des conseils détaillés.
Actions supplémentaires suggérées
Protégez votre PC
Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, consultez le Centre de sécurité Microsoft.
Veillez à mettre à jour régulièrement vos logiciels Microsoft
Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Pour ce faire, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à recevoir les mises à jour pour les produits Microsoft, les mises à jour vous sont fournies à leur publication, mais nous vous conseillons de vérifier qu'elles sont installées.
Autres informations
Remerciements
Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :
- Daniel Letkiewicz de Google pour avoir signalé la vulnérabilité d'usurpation dans DirectAccess (CVE-2013-3876).
Commentaires
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).
Support technique
- En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations, consultez lesite Web Aide et Support Microsoft.
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de Support international.
- TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
Révisions
- V1.0 (12 novembre 2013) : Avis publié.
- V1.1 (28 février 2014) : Avis mis à jour pour annoncer une modification de la logique de détection dans la mise à jour 2862152 pour Windows 8.1 pour systèmes 32 bits, Windows 8.1 pour systèmes x64, Windows Server 2012 R2 et Windows RT 8.1. Cette modification ne concerne que la logique de détection. Aucune modification n'a été apportée aux fichiers de la mise à jour. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.
Built at 2014-04-18T13:49:36Z-07:00