• Article

Avis de sécurité

Conseils de sécurité Microsoft 921923

Code de preuve de concept publié affectant le service d’accès à distance Connecter ion Manager

Publication : 23 juin 2006

Microsoft est conscient que le code d’exploitation détaillé a été publié sur Internet pour la vulnérabilité qui est traitée par le bulletin de sécurité Microsoft MS06-025. Microsoft ne connaît actuellement pas les attaques actives qui utilisent ce code d’exploitation ou l’impact du client pour l’instant. Toutefois, Microsoft surveille activement cette situation pour informer les clients et fournir des conseils au client si nécessaire.
Notre examen de ce code d’exploitation a vérifié qu’il n’affecte pas les clients qui ont installé les mises à jour détaillées dans MS06-025 sur leurs ordinateurs.  Microsoft continue de recommander aux clients d’appliquer les mises à jour aux produits concernés en activant la fonctionnalité de Mises à jour automatique dans Windows.
Microsoft est déçu que certains chercheurs de sécurité aient enfreint la pratique courante du secteur de la rétention des données de vulnérabilité si près de la mise à jour et ont publié le code d’exploitation, potentiellement préjudiciable aux utilisateurs de l’ordinateur. Nous continuons d’inviter les chercheurs en sécurité à divulguer les informations de vulnérabilité de manière responsable et à permettre aux clients de déployer des mises à jour afin qu’ils n’aident pas les criminels dans leur tentative de tirer parti des vulnérabilités logicielles

Facteurs d’atténuation :

  • Les clients qui ont installé la mise à jour de sécurité MS06-025 ne sont pas affectés par cette vulnérabilité.
  • Les systèmes Windows 2000 sont principalement exposés à cette vulnérabilité. Les clients exécutant Windows 2000 doivent déployer MS06-025 dès que possible ou désactiver le service RASMAN.
  • Sur Windows XP Service Pack 2, Windows Server 2003 et Windows Server 2003 Service Pack 1, l’attaquant doit disposer d’informations d’identification d’ouverture de session valides pour exploiter la vulnérabilité.
  • Ce problème n’affecte pas Windows 98, Windows 98 SE ou Windows Millennium Edition.

Informations générales

Vue d’ensemble

Objectif de l’avis : notification de la disponibilité d’une mise à jour de sécurité pour vous protéger contre cette menace potentielle.

État consultatif : étant donné que ce problème est déjà résolu dans le cadre du bulletin de sécurité MS06-025 , aucune mise à jour supplémentaire n’est requise.

Recommandation : Installez la mise à jour de sécurité MS06-025 pour vous protéger contre cette vulnérabilité.

Références Identification
Référence CVE CVE-2006-2370
CVE-2006-2371
Bulletin de sécurité MS06-025

Cet avis traite du logiciel suivant.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium
Microsoft Windows Server 2003 x64 Edition

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Microsoft est conscient de la publication publique de vulnérabilités de ciblage de code d’exploitation identifiées dans Microsoft Security Update MS06-025. Cela affecte le logiciel répertorié dans la section « Vue d’ensemble »

S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Non. Les clients qui ont installé la mise à jour de sécurité MS06-025 ne sont pas affectés par cette vulnérabilité. Aucune mise à jour supplémentaire n’est requise.

Quelles sont les causes de cette menace ?
Mémoire tampon non case activée dans les technologies de routage et d’accès à distance affectant spécifiquement le service RASMAN (Remote Access Connecter ion Manager Service)

Que fait la fonctionnalité ?
Le Gestionnaire d’accès à distance Connecter ion est un service qui gère les détails de l’établissement de la connexion au serveur distant. Ce service fournit également aux clients des informations d’état pendant l’opération de connexion. Le Gestionnaire d’accès à distance Connecter ion démarre automatiquement lorsqu’une application charge le RASAPI32.DLL

Qu’est-ce qu’un attaquant peut utiliser cette fonction pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet du système concerné.

Existe-t-il des problèmes connus liés à l’installation de Microsoft Security Update MS06-025 qui protège contre cette menace ?
L’article 911280de la Base de connaissances Microsoft documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de la mise à jour de sécurité. Seuls les clients qui utilisent des connexions rendez-vous qui utilisent des scripts qui configurent leur appareil pour la parité, les bits d’arrêt ou les bits de données ou une fenêtre de terminal post-connexion ou les scripts d’accès à distance sont affectés par les problèmes identifiés dans l’article Ko. Si les clients n’utilisent aucun des scénarios d’accès à distance identifiés, ils sont encouragés à installer la mise à jour immédiatement.

Actions suggérées

Si vous avez installé la mise à jour publiée avec le Bulletin de sécurité MS06-025, vous êtes déjà protégé contre l’attaque identifiée dans la preuve de concept publiée publiquement. Si vous n’avez pas installé la mise à jour ou que vous êtes affecté par l’un des scénarios identifiés dans l’article 911280 de la Base de connaissances Microsoft, vous êtes invité à désactiver le service Accès à distance Connecter ion Manager.

  • Désactiver le service Remote Access Connecter ion Manager

    La désactivation du service Remote Access Connecter ion Manager permet de protéger le système concerné contre les tentatives d’exploitation de cette vulnérabilité. Pour désactiver le service RASMAN (Remote Access Connecter ion Manager), procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration. Vous pouvez également pointer vers Paramètres, puis cliquez sur Panneau de configuration.
    2. Double-cliquez sur Outils d'administration.
    3. Double-cliquez sur Services.
    4. Double-cliquez sur Remote Access Connecter ion Manager
    5. Dans la liste des types de démarrage, cliquez sur Désactivé.
    6. Cliquez sur Arrêter, puis sur OK.

    Vous pouvez également arrêter et désactiver le service RASMAN (Remote Access Connecter ion Manager) à l’aide de la commande suivante à l’invite de commandes :

    sc stop rasman & sc config rasman start= disabled

    Impact de la solution de contournement : si vous désactivez le service Accès à distance Connecter ion Manager, vous ne pouvez pas proposer de services de routage à d’autres hôtes dans des environnements réseau locaux et étendus. Par conséquent, nous recommandons cette solution de contournement uniquement sur les systèmes qui ne nécessitent pas l’utilisation de RASMAN pour l’accès à distance et le routage.

  • Bloquez ce qui suit au niveau du pare-feu :

    • Ports UDP 135, 137, 138 et 445 et ports TCP 135, 139, 445 et 593
    • Tout le trafic entrant non sollicité sur les ports supérieurs à 1024
    • Tout autre port RPC spécifiquement configuré

    Ces ports sont utilisés pour lancer une connexion avec RPC. Les bloquer au niveau du pare-feu aident à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d’exploitation de cette vulnérabilité. Vérifiez également que vous bloquez tout autre port RPC spécifiquement configuré sur le système distant. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées à partir d’Internet pour empêcher les attaques susceptibles d’utiliser d’autres ports. Pour plus d’informations sur les ports utilisés par RPC, visitez le site web suivant.

  • Pour vous protéger contre les tentatives basées sur le réseau d’exploiter cette vulnérabilité, utilisez un pare-feu personnel, tel que lepare-feu Internet Connecter ion, inclus avec Windows XP et Windows Server 2003.

    Par défaut, la fonctionnalité pare-feu Internet Connecter ion dans Windows XP et dans Windows Server 2003 permet de protéger votre connexion Internet en bloquant le trafic entrant non sollicité. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées à partir d’Internet. Dans Windows XP Service Pack 2, cette fonctionnalité est appelée Pare-feu Windows.

    Pour activer la fonctionnalité pare-feu Internet Connecter ion à l’aide de l’Assistant Configuration réseau, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans l’affichage catégorie par défaut, cliquez sur Réseau et Internet Connecter ions, puis sur Configurer ou modifier votre réseau domestique ou petit bureau. La fonctionnalité pare-feu Internet Connecter ion est activée lorsque vous sélectionnez une configuration dans l’Assistant Configuration réseau qui indique que votre système est connecté directement à Internet.

    Pour configurer manuellement internet Connecter ion Firewall pour une connexion, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans l’affichage catégorie par défaut, cliquez sur Réseaux et internet Connecter ions, puis sur Réseau Connecter ions.
    3. Cliquez avec le bouton droit sur la connexion sur laquelle vous souhaitez activer le pare-feu Internet Connecter ion, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Avancé.
    5. Cliquez pour sélectionner protéger mon ordinateur ou réseau en limitant ou en empêchant l’accès à cet ordinateur à partir de la zone de case activée Internet, puis cliquez sur OK.

    Notez que si vous souhaitez autoriser certains programmes et services à communiquer via le pare-feu, cliquez sur Paramètres sous l’onglet Avancé, puis sélectionnez les programmes, les protocoles et les services requis.

  • Les clients qui croient qu’ils ont été attaqués devraient contacter leur bureau local du FBI ou publier leur plainte sur le site web duCentre de plaintes de fraude Internet. Les clients extérieurs aux États-Unis doivent contacter l’agence nationale d’application de la loi dans leur pays.

  • Clients dans l’U.S. et le Canada qui pensent qu’ils ont pu être touchés par cette vulnérabilité peut recevoir un support technique de Microsoft Product Support Services à 1-866-PCSAFETY. Il n’existe aucun frais pour la prise en charge associée aux problèmes de mise à jour de sécurité ou aux virus. » Les clients internationaux peuvent recevoir du support à l’aide de l’une des méthodes répertoriées sur le site Web d’aide et de support de sécurité pour les utilisateurs à domicile.
    Tous les clients doivent appliquer les dernières mises à jour de sécurité publiées par Microsoft pour vous assurer que leurs systèmes sont protégés contre les tentatives d’exploitation. Les clients qui ont activé l’Mises à jour automatique recevront automatiquement toutes les mises à jour Windows. Pour plus d’informations sur les mises à jour de sécurité, visitez le site web de sécurité Microsoft.

  • Pour plus d’informations sur la sécurité sur Internet, les clients peuvent visiter lapage d’accueil de la sécurité Microsoft.

  • Conserver Windows mis à jour

    Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez le site web Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.

Autres informations

Ressources :

  • Vous pouvez fournir des commentaires en remplissant le formulaire en visitant le site web suivant.
  • Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services. Pour plus d’informations sur les options de support disponibles, consultez le site Web aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le site web du support international.
  • Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • Publication de l’avis du 23 juin 2006

Construit à 2014-04-18T13 :49 :36Z-07 :00