• Article

Avis de sécurité

Conseils de sécurité Microsoft 911052

Déni de service d’allocation de mémoire via RPC

Publication : 16 novembre 2005 | Mise à jour : 18 novembre 2005

Microsoft est conscient des rapports publics de code de preuve de concept qui cherchent à exploiter une vulnérabilité possible dans Microsoft Windows 2000 Service Pack 4 et dans Microsoft Windows XP Service Pack 1. Cette vulnérabilité peut permettre à un attaquant d’effectuer une attaque par déni de service d’une durée limitée.

Sur Windows 2000 Service Pack 4, un attaquant peut potentiellement exploiter cette vulnérabilité de façon anonyme. Sur Windows XP Service Pack 1, un attaquant doit avoir des informations d’identification d’ouverture de session valides pour essayer d’exploiter cette vulnérabilité. La vulnérabilité n’a pas pu être exploitée à distance par les utilisateurs anonymes. Toutefois, le composant affecté est disponible à distance pour les utilisateurs disposant de comptes d’utilisateur standard. Les clients qui ont installé Windows XP Service Pack 2 ne sont pas affectés par cette vulnérabilité. En outre, les clients exécutant Windows Server 2003 et Windows Server 2003 Service Pack 1 ne sont pas affectés par cette vulnérabilité.

Microsoft ne connaît pas les attaques actives qui utilisent cette vulnérabilité ou l’impact du client pour l’instant. Toutefois, Microsoft surveille activement cette situation pour informer les clients et fournir des conseils au client si nécessaire.

Microsoft s’inquiète que ce nouveau rapport d’une vulnérabilité dans Windows 2000 Service Pack 4 et Windows XP Service Pack 1 n’a pas été divulgué de manière responsable, ce qui risque de mettre les utilisateurs de l’ordinateur en danger. Nous continuons à encourager la divulgation responsable des vulnérabilités. Nous pensons que la pratique couramment acceptée de signaler des vulnérabilités directement à un fournisseur sert les meilleurs intérêts de chacun. Cette pratique permet de s’assurer que les clients reçoivent des mises à jour complètes et de haute qualité pour les vulnérabilités de sécurité sans exposition à des attaquants malveillants pendant le développement de la mise à jour.

Bien que cette vulnérabilité ait été découverte par un chercheur en sécurité lors de l’examen de la vulnérabilité traitée par le Bulletin de sécurité MS05-047, il s’agit d’une vulnérabilité complètement distincte et n’est pas liée à la vulnérabilité décrite dans MS05-047. Nous continuons à encourager les clients à appliquer la mise à jour MS05-047 et toutes les mises à jour de sécurité récentes publiées par Microsoft.

Nous continuons à encourager les clients à suivre nos conseils sur la protection de votre PC pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus Clients peuvent en savoir plus sur ces étapes en visitant protéger votre site web PC.

Facteurs d’atténuation :

  • Sur Windows XP Service Pack 1, un attaquant doit avoir des informations d’identification d’ouverture de session valides pour essayer d’exploiter cette vulnérabilité. La vulnérabilité n’a pas pu être exploitée à distance par les utilisateurs anonymes. Toutefois, le composant affecté est disponible à distance pour les utilisateurs disposant de comptes d’utilisateur standard. Dans certaines configurations, les utilisateurs anonymes peuvent s’authentifier en tant que compte invité. Pour plus d’informations, consultez le 906574 de conseil de sécurité Microsoft.
  • Les clients qui exécutent Windows XP Service Pack 2, Windows Server 2003 et Windows Server 2003 Service Pack 1 ne sont pas affectés par cette vulnérabilité.
  • Les meilleures pratiques de pare-feu et les configurations de pare-feu par défaut standard peuvent aider à protéger les réseaux contre les attaques provenant de l’extérieur du périmètre d’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient un nombre minimal de ports exposés.

Informations générales

Vue d’ensemble

Objectif de l’avis : conseiller les clients d’une question publiquement divulguée, clarifier l’étendue et l’impact de cette question et fournir des conseils prescriptifs

État de l’avis : sous enquête.

Recommandation : passez en revue les actions suggérées et configurez-les selon les besoins.

Références Identification
Référence CVE CAN-2005-3644
Article de la Base de connaissances Microsoft 911052

Cet avis traite du logiciel suivant.
Logiciel associé
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Microsoft a été informé d’une nouvelle vulnérabilité de déni de service d’allocation de mémoire dans Microsoft Windows. Cela affecte le logiciel répertorié dans la section « Vue d’ensemble ».

Qu’est-ce que l’appel de procédure distante (RPC) ?
L’appel de procédure distante (RPC) est un protocole utilisé par le système d’exploitation Windows. RPC fournit un mécanisme de communication interprocessus qui permet à un programme qui s’exécute sur un ordinateur d’accéder en toute transparence aux services d’un autre ordinateur. Le protocole lui-même est dérivé du protocole RPC Open Software Foundation (OSF), mais avec l’ajout de certaines extensions spécifiques à Microsoft.

S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
À ce stade, le problème est toujours en cours d’enquête. Une fois l’enquête terminée, une mise à jour de sécurité peut être publiée pour ce problème.

Quelles sont les causes de cette menace ?
Un attaquant peut envoyer des paquets malveillants spécialement conçus à un ordinateur vulnérable, ce qui entraînerait potentiellement une condition de déni de service d’une durée limitée.

Qu’est-ce qu’un attaquant peut utiliser cette fonction pour faire ?
Un attaquant peut envoyer des paquets malveillants spécialement conçus à un ordinateur vulnérable, ce qui entraînerait potentiellement une condition de déni de service limitée.

Actions suggérées

Solutions de contournement

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée dans la section suivante.

  • Pour vous protéger contre les tentatives de connexion réseau anonyme pour exploiter cette vulnérabilité, configurez le paramètre de Registre RestrictAnonymous sur un paramètre plus restrictif :

    Par défaut sur Windows 2000, l’entrée RestrictAnonymous est définie sur la valeur 0, ce qui ne limite pas les utilisateurs anonymes. En définissant l’entrée de Registre sur la valeur 2, les utilisateurs anonymes n’ont aucun accès sans autorisations anonymes explicites. Pour plus d’informations sur l’utilisation de l’entrée de Registre RestrictAnonymous dans Windows 2000, consultez l’article de la Base de connaissances Microsoft 246261.

    Impact de la solution de contournement : lorsque la valeur de Registre RestrictAnonymous est définie sur 2, le jeton d’accès créé pour les utilisateurs non authentifiés n’inclut pas le groupe Tout le monde et, en raison de cela, le jeton d’accès n’a plus accès à ces ressources qui accordent des autorisations au groupe Tout le monde. Cela peut entraîner un comportement non souhaité, car de nombreux services Windows 2000, ainsi que des programmes tiers, s’appuient sur des fonctionnalités d’accès anonyme pour effectuer des tâches légitimes.

  • Bloquez ce qui suit au niveau du pare-feu :

    • Ports UDP 135, 137, 138 et 445 et ports TCP 135, 139, 445 et 593
    • Tout le trafic entrant non sollicité sur les ports supérieurs à 1024
    • Tout autre port RPC spécifiquement configuré
    • S’il est installé, les services Internet COM (CIS) ou RPC sur HTTP, qui écoutent sur les ports 80 et 443

    Ces ports sont utilisés pour lancer une connexion avec RPC. Les bloquer au niveau du pare-feu permettent d’empêcher les systèmes qui se trouvent derrière ce pare-feu de tenter d’exploiter cette vulnérabilité. Vérifiez également que vous bloquez tout autre port RPC spécifiquement configuré sur le système distant. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées à partir d’Internet pour empêcher les attaques susceptibles d’utiliser d’autres ports. Pour plus d’informations sur les ports utilisés par RPC, visitez le site web suivant. Pour plus d’informations sur la désactivation de CIS, consultez l’article de la Base de connaissances Microsoft 825819.

  • Pour vous protéger contre les tentatives basées sur le réseau d’exploiter cette vulnérabilité, utilisez un pare-feu personnel, tel que lepare-feu Internet Connecter ion, qui est inclus avec Windows XP Service Pack 1.

    Par défaut, la fonctionnalité pare-feu Internet Connecter ion dans Windows XP Service Pack 1 permet de protéger votre connexion Internet en bloquant le trafic entrant non sollicité. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées à partir d’Internet.

    Pour configurer manuellement internet Connecter ion Firewall pour une connexion, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans l’affichage catégorie par défaut, cliquez sur Réseaux et internet Connecter ions, puis sur Réseau Connecter ions.
    3. Cliquez avec le bouton droit sur la connexion sur laquelle vous souhaitez activer le pare-feu Internet Connecter ion, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Avancé.
    5. Cliquez pour sélectionner protéger mon ordinateur ou réseau en limitant ou en empêchant l’accès à cet ordinateur à partir de la zone de case activée Internet, puis cliquez sur OK.

    Notez que si vous souhaitez autoriser certains programmes et services à communiquer via le pare-feu, cliquez sur Paramètres sous l’onglet Avancé, puis sélectionnez les programmes, les protocoles et les services requis.

  • Pour vous protéger contre les tentatives basées sur le réseau d’exploiter cette vulnérabilité, activez le filtrage TCP/IP avancé sur les systèmes qui prennent en charge cette fonctionnalité.

    Vous pouvez activer le filtrage TCP/IP avancé pour bloquer tout le trafic entrant non sollicité. Pour plus d’informations sur la configuration du filtrage TCP/IP, consultez l’article de la Base de connaissances Microsoft 309798.

  • Pour vous protéger contre les tentatives basées sur le réseau d’exploiter cette vulnérabilité, bloquez les ports affectés à l’aide d’IPsec sur les systèmes concernés.

    Utilisez la sécurité du protocole Internet (IPsec) pour protéger les communications réseau. Des informations détaillées sur IPsec et sur la façon d’appliquer des filtres sont disponibles dans l’article 313190 de la Base de connaissances Microsoft et l’article de la Base de connaissances Microsoft 813878.

  • Les clients aux États-Unis et au Canada qui croient qu’ils ont pu être affectés par cette vulnérabilité possible peuvent recevoir un support technique des Services de support technique Microsoft à 1-866-PCSAFETY. Il n’existe aucun frais pour la prise en charge associée aux problèmes de mise à jour de sécurité ou aux virus. » Les clients internationaux peuvent recevoir du support à l’aide de l’une des méthodes répertoriées sur le site Web d’aide et de support de sécurité pour les utilisateurs à domicile. Tous les clients doivent appliquer les dernières mises à jour de sécurité publiées par Microsoft pour vous assurer que leurs systèmes sont protégés contre les tentatives d’exploitation. Les clients qui ont activé l’Mises à jour automatique recevront automatiquement toutes les mises à jour Windows. Pour plus d’informations sur les mises à jour de sécurité, visitez le site web de sécurité Microsoft.

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils de protection de votre PC pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en consultant le site Web Protéger votre PC.

  • Pour plus d’informations sur la sécurité sur Internet, les clients peuvent visiter lapage d’accueil de la sécurité Microsoft.

  • Conserver votre système mis à jour

    Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez le site web Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.

Autres informations

Ressources :

  • Vous pouvez fournir des commentaires en remplissant le formulaire en visitant le site web suivant.
  • Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services. Pour plus d’informations sur les options de support disponibles, consultez le site Web aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le site web du support international.
  • Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • 16 novembre 2005 : Avis publié
  • 18 novembre 2005 : Avis mis à jour pour référencer une CVE et clarifier que ce problème est anonymement exploitable sur Windows 2000 Service Pack 4.

Construit à 2014-04-18T13 :49 :36Z-07 :00