Avis de sécurité
Conseils de sécurité Microsoft 899588
La vulnérabilité dans Plug-and-Play pourrait autoriser l’exécution et l’élévation de privilèges à distance
Publication : 11 août 2005 | Mise à jour : 17 août 2005
Zotob est un ver qui cible les ordinateurs Windows 2000 et tire parti d’un problème de sécurité qui a été résolu par le Bulletin de sécurité Microsoft MS05-039. Ce ver et ses variantes installent des logiciels malveillants, puis recherchent d’autres ordinateurs à infecter.
Si vous avez installé la mise à jour publiée avec le Bulletin de sécurité MS05-039, vous êtes déjà protégé de Zotob et de ses variantes. Si vous utilisez une version prise en charge de Windows autre que Windows 2000, vous ne risquez pas zotob et ses variantes. Dans le cadre de notre processus de réponse aux incidents de sécurité logicielle, notre enquête a déterminé que seul un petit nombre de clients ont été affectés et que les professionnels de la sécurité Microsoft travaillent directement avec eux. Nous n’avons vu aucune indication de l’impact généralisé sur Internet. Les clients qui croient qu’ils ont été attaqués devraient contacter leur bureau local du FBI ou publier leur plainte sur le site web du Centre de plaintes de fraude Internet. Les clients en dehors du États-Unis doivent contacter l’agence nationale d’application de la loi dans leur pays.
Pour plus d’informations sur ces vers, pour vous aider à déterminer si vous avez été infecté par ces vers et pour obtenir des instructions sur la réparation de votre système si vous avez été infecté par ces vers, consultez le site Web d’incident de sécurité Zotob ou l’encyclopédie Microsoft Virus. Pour les références Microsoft Virus Encyclopedia, consultez la section « Vue d’ensemble ». Vous pouvez également utiliser l’outil de suppression de logiciels malveillants Microsoft Windows pour rechercher et supprimer le ver Zotob et ses variantes de votre disque dur.
D’autres versions de Windows, y compris Windows XP Service Pack 2 et Windows Server 2003, ne sont pas affectées par Worm :Win32/Zotob.A, ses variantes et les vers similaires qui tentent d’exploiter la vulnérabilité de Windows Plug-and-Play, sauf s’ils ont déjà été compromis par d’autres logiciels malveillants. Les clients peuvent se protéger contre les attaques qui tentent d’utiliser cette vulnérabilité en installant immédiatement les mises à jour de sécurité fournies par le Bulletin de sécurité Microsoft MS05-039 . Le bulletin de sécurité MS05-039 est disponible sur le site web suivant.
Microsoft est déçu que certains chercheurs de sécurité aient enfreint la pratique courante du secteur de la rétention des données de vulnérabilité si près de la mise à jour et ont publié le code d’exploitation, potentiellement préjudiciable aux utilisateurs de l’ordinateur. Nous continuons d’inviter les chercheurs en sécurité à divulguer de manière responsable les informations sur les vulnérabilités et à permettre aux clients de déployer des mises à jour afin qu’ils n’aident pas les criminels dans leur tentative de tirer parti des vulnérabilités logicielles.
Facteurs d’atténuation :
- Les systèmes Windows 2000 sont principalement exposés à cette vulnérabilité. Les clients Windows 2000 qui ont installé la mise à jour de sécurité MS05-039 ne sont pas affectés par cette vulnérabilité. Si un administrateur a désactivé les connexions anonymes en modifiant le paramètre par défaut de la clé de Registre RestrictAnonymous sur la valeur 2, les systèmes Windows 2000 ne sont pas vulnérables à distance des utilisateurs anonymes. Toutefois, en raison d’un risque de compatibilité d’application volumineux, nous vous déconseillons les clients d’activer ce paramètre dans les environnements de production sans d’abord tester le paramètre dans leur environnement. Pour plus d’informations, recherchez RestrictAnonymous sur le site Web d’aide et de support Microsoft.
- Bien qu’il ne s’agit pas de la cible actuelle de ces attaques, il est important de noter que sur Windows XP Service Pack 2 et Windows Server 2003, un attaquant doit avoir des informations d’identification d’ouverture de session valides et être en mesure de se connecter localement pour exploiter cette vulnérabilité. La vulnérabilité n’a pas pu être exploitée à distance par des utilisateurs anonymes ou par des utilisateurs disposant de comptes d’utilisateur standard sur Windows XP Service Pack 2 ou Windows Server 2003. Cela est dû à une sécurité renforcée intégrée directement au composant concerné. Même si un administrateur a activé les connexions anonymes en modifiant le paramètre par défaut de la clé de Registre RestrictAnonymous , Windows XP Service Pack 2 et Windows Server 2003 ne sont pas vulnérables à distance par des utilisateurs anonymes ou par des utilisateurs disposant de comptes d’utilisateur standard. Toutefois, le composant affecté est disponible à distance pour les utilisateurs disposant d’autorisations d’administration.
- Bien que la cible actuelle de ces attaques ne soit pas la cible actuelle, il est important de noter que sur Windows XP Service Pack 1, un attaquant doit avoir des informations d’identification d’ouverture de session valides pour essayer d’exploiter cette vulnérabilité. La vulnérabilité n’a pas pu être exploitée à distance par les utilisateurs anonymes. Toutefois, le composant affecté est disponible à distance pour les utilisateurs disposant de comptes d’utilisateur standard sur Windows XP Service Pack 1. Les attaques existantes ne sont pas conçues pour fournir l’authentification requise pour exploiter ce problème sur ces systèmes d’exploitation. Même si un administrateur a activé les connexions anonymes en modifiant le paramètre par défaut de la clé de Registre RestrictAnonymous , les systèmes Windows XP Service Pack 1 ne sont pas vulnérables à distance par les utilisateurs anonymes.
- Ce problème n’affecte pas Windows 98, Windows 98 SE ou Windows Millennium Edition.
Informations générales
Vue d’ensemble
Objectif de l’avis : notification d’attaques de clients actives et disponibilité d’une mise à jour de sécurité pour vous protéger contre cette menace potentielle.
État de l’avis : avis publié. Comme ce problème est déjà résolu dans le cadre du bulletin de sécurité MS05-039 , aucune mise à jour supplémentaire n’est requise.
Recommandation : les clients doivent utiliser l’outil de suppression de logiciels malveillants Microsoft Windows pour case activée et supprimer l’infection Zotob et installer la mise à jour de sécurité MS05-039 pour vous protéger contre cette vulnérabilité.
| Références | Identification |
|---|---|
| Références de vulnérabilité | |
| Référence CVE | CAN-2005-1983 |
| Bulletin de sécurité | MS05-039 |
| Détails de l’exploitation et du ver | |
| Incident de sécurité Zotob | Site web |
| Outil de suppression de logiciels malveillants | Site web |
| Microsoft Virus Encyclopedia | Worm :Win32/Zotob.A, Worm :Win32/Zotob.B, Worm :Win32/Zotob.C, Worm :Win32/Zotob.D, Worm :Win32/Zotob.EWorm :Win32/Esbot.A, Worm :Win32/Rbot.MA, Worm :Win32/Rbot.Mo, Worm :Win32/Rbot.MC, Bobax.O |
| Symantec | W32. Zotob.A, W32. Zotob.B, W32. Zotob.D, W32. Zotob.E,W32. Zotob.G |
| F-Secure | Zotob.A, Zotob.B, Zotob.C, Bozori.A, Bozori.B, Bozori.C |
| McAfee | W32/Zotob.worm,W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Bozori.worm.b, W32/IRCbot.worm ! MS05-039, W32/Sdbot.worm ! MS05-039,W32/Sdbot.worm !51326 |
Notez que cet avis ne sera pas mis à jour pour les variantes futures, sauf s’ils sont matériellement différents des versions existantes.
Cet avis traite du logiciel suivant.
| Logiciel associé |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64 Bits Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP version 64 bits version 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 pour les systèmes Itanium |
| Microsoft Windows Server 2003 Service Pack 1 |
| Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium |
| Microsoft Windows Server 2003 x64 Edition |
| Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) et Microsoft Windows Millennium Edition (ME) |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
Zotob est un ver qui cible les ordinateurs Windows 2000 et tire parti d’un problème de sécurité qui a été résolu par le Bulletin de sécurité Microsoft MS05-039. Ce ver et ses variantes installent des logiciels malveillants, puis recherchent d’autres ordinateurs à infecter. Si vous avez installé la mise à jour publiée avec le Bulletin de sécurité MS05-039, vous êtes déjà protégé de Zotob et de ses variantes. Si vous utilisez une version prise en charge de Windows autre que Windows 2000, vous ne risquez pas zotob et ses variantes.
S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité supplémentaire ?
Non. Les clients qui ont installé les mises à jour de sécurité MS05-039 ne sont pas affectés par cette vulnérabilité.
Quelles sont les causes de cette menace ?
Mémoire tampon non case activée dans le service Plug-and-Play. Pour plus d’informations sur les vulnérabilités, consultez le Bulletin de sécurité MS05-039 .
Qu’est-ce qu’un attaquant peut utiliser cette fonction pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets.
Actions suggérées
Recherchez et supprimez l’infection Zotob.
Vous pouvez utiliser l’outil de suppression de logiciels malveillants Microsoft Windows pour rechercher et supprimer le ver Zotob et ses variantes de votre disque dur.
Les clients doivent installer lesmises à jour de sécurité MS05-039pour vous protéger contre cette vulnérabilité.
Les systèmes Windows 2000 sont principalement exposés à cette vulnérabilité. Les clients qui ont installé la mise à jour de sécurité MS05-039 ne sont pas affectés par cette vulnérabilité.
Les clients qui croient qu’ils ont été attaqués devraient contacter leur bureau local du FBI ou publier leur plainte sur le site web du Centre de plaintes de fraude Internet. Les clients extérieurs aux États-Unis doivent contacter l’agence nationale d’application de la loi dans leur pays.
Les clients aux États-Unis et au Canada qui croient qu’ils ont pu être affectés par cette vulnérabilité possible peuvent recevoir un support technique des Services de support technique Microsoft à 1-866-PCSAFETY. Il n’existe aucun frais pour la prise en charge associée aux problèmes de mise à jour de sécurité ou aux virus. » Les clients internationaux peuvent recevoir du support à l’aide de l’une des méthodes répertoriées sur le site Web d’aide et de support de sécurité pour les utilisateurs à domicile. Tous les clients doivent appliquer les dernières mises à jour de sécurité publiées par Microsoft pour vous assurer que leurs systèmes sont protégés contre les tentatives d’exploitation. Les clients qui ont activé l’Mises à jour automatique recevront automatiquement toutes les mises à jour Windows. Pour plus d’informations sur les mises à jour de sécurité, visitez le site web de sécurité Microsoft.
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre PC pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en consultant le site Web Protéger votre PC.
Conserver Windows mis à jour
Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez le site web Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.
Autres informations
Ressources :
- Vous pouvez fournir des commentaires en remplissant le formulaire en visitant le site web suivant.
- Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services. Pour plus d’informations sur les options de support disponibles, consultez le site Web aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le site web du support international.
- Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité :
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions:
- 11 août 2005 : Avis publié
- 14 août 2005 : des conseils ont été mis à jour pour informer les clients que Microsoft analyse activement et fournit des conseils sur un ver malveillant identifié comme « Worm :Win32/Zotob.A ».
- 15 août 2005 : l’avis a été mis à jour pour documenter d’autres variantes de Worm :Win32/Zotob.A. Nous avons également mis à jour l’avis pour documenter les informations sur l’impact de la clé de Registre RestrictAnonymous.
- 16 août 2005 : des conseils ont été mis à jour pour documenter des informations supplémentaires sur les variantes de Worm :Win32/Zotob.A et des informations supplémentaires sur l’enquête en cours.
- 17 août 2005 : Des conseils ont été mis à jour pour documenter des informations supplémentaires sur les variantes de Worm :Win32/Zotob.A. Nous annonçons également la disponibilité d’une version révisée de l’outil de suppression de logiciels malveillants Microsoft Windows qui permet de résoudre ces attaques.
Construit à 2014-04-18T13 :49 :36Z-07 :00