Bulletin de sécurité Microsoft MS16-077 - Important

Publié : 14 juin 2016 | Mise à jour : 9 août 2016

Version : 1.3

Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft Windows. Les vulnérabilités les plus graves peuvent autoriser l’élévation de privilèges si le protocole WPAD (Web Proxy Auto Discovery) revient à un processus de découverte de proxy vulnérable sur un système cible.

Cette mise à jour de sécurité est évaluée comme importante pour toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Évaluations de gravité des vulnérabilités et des logiciels affectés.

La mise à jour résout les vulnérabilités en corrigeant la façon dont Windows gère la découverte de proxy et la détection automatique de proxy WPAD dans Windows. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.

Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3165191.

Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.

Les évaluations de gravité indiquées pour chaque logiciel concerné supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de juin.

^[1]Cette mise à jour est disponible uniquement via Windows Update.

^[2]Les mises à jour de Windows 10 sont cumulatives. La version de sécurité mensuelle inclut tous les correctifs de sécurité pour les vulnérabilités qui affectent Windows 10, en plus des mises à jour non liées à la sécurité. Les mises à jour sont disponibles via le catalogue Microsoft Update.

Notez que Windows Server 2016 Technical Preview 5 est affecté. Les clients exécutant ce système d’exploitation sont encouragés à appliquer la mise à jour, disponible via Windows Update.

*La colonne Mises à jour remplacée affiche uniquement la dernière mise à jour dans n’importe quelle chaîne de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au catalogue Microsoft Update, recherchez le numéro de mise à jour Ko, puis affichez les détails de la mise à jour (les informations remplacées sont fournies sous l’onglet Détails du package).

Existe-t-il d’autres étapes que je dois effectuer pour être protégé de CVE-2016-3213 décrit dans ce bulletin ?  Oui. Il est important de noter que la mise à jour de sécurité décrite dans ce bulletin pour CVE-2016-3213 ne protège pas entièrement votre système. Vous devez également installer la mise à jour cumulative 3160005 dans MS16-063 pour être entièrement protégé contre cette vulnérabilité.

Y a-t-il des modifications de comportement que je devrais connaître après l’installation de cette mise à jour ?  Oui. Cette mise à jour modifie le comportement de la détection de proxy automatique et de NetBIOS, ce qui peut affecter différents scénarios, tels que S Mo, la détection de proxy basée sur WPAD, etc. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 3165191.

Une vulnérabilité d’élévation de privilèges existe dans Microsoft Windows lorsque le protocole WPAD (Web Proxy Auto Discovery) revient à un processus de découverte de proxy vulnérable. Un attaquant qui a réussi à exploiter cette vulnérabilité peut contourner la sécurité et obtenir des privilèges élevés sur un système ciblé.

Pour exploiter la vulnérabilité, un attaquant peut répondre aux demandes de nom NetBIOS pour WPAD. La mise à jour résout la vulnérabilité en corrigeant la façon dont Windows gère la découverte de proxy.

Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Les solutions de contournement suivantes peuvent être utiles dans votre situation.

• Désactiver la résolution de noms WINS/NetBT

  1. Ouvrez les Connecter ions réseau.

  2. Cliquez sur la zone locale Connecter ion à configurer statiquement, puis, dans le menu Fichier, cliquez sur Propriétés.

  3. Dans la liste des composants, cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.

  4. Cliquez sur Avancé, sur l’onglet WINS , puis sur Désactiver NetBIOS sur TCP/IP.

     Si vous le souhaitez, vous pouvez sélectionner le paramètre Utiliser NetBIOS sur le serveur DHCP si vous utilisez un serveur DHCP qui peut activer et désactiver de manière sélective la configuration NetBIOS via des types d’options DHCP.

• Arrêter WPAD à l’aide d’une entrée de fichier hôte

  1. Ouvrez le fichier hôte situé à l’emplacement suivant en tant qu’administrateur : %systemdrive%\Windows\System32\Drivers\etc\hosts
  2. Créez l’entrée suivante pour WPAD dans le fichier hôte : 255.255.255.255 wpad.

   

  Impact de la solution de contournement. La découverte de l’autoproxy ne fonctionnera pas et, pour cette raison, certaines applications, telles qu’Internet Explorer, ne pourront pas charger correctement les sites web.

  **Comment annuler la solution de contournement. **

  1. Ouvrez le fichier hôte situé à l’emplacement suivant en tant qu’administrateur : %systemdrive%\Windows\System32\Drivers\etc\hosts
  2. Supprimez l’entrée suivante pour WPAD dans le fichier hôte : 255.255.255.255 wpad.

Une vulnérabilité d’élévation de privilèges existe lorsque Microsoft Windows gère incorrectement certains scénarios de découverte de proxy à l’aide de la méthode de protocole WPAD (Web Proxy Auto Discovery). Un attaquant qui a réussi à exploiter la vulnérabilité peut potentiellement accéder au trafic réseau et contrôler le trafic réseau pour lequel l’attaquant n’a pas suffisamment de privilèges. La mise à jour résout la vulnérabilité en corrigeant la détection automatique du proxy WPAD dans Windows.

Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Les solutions de contournement suivantes peuvent être utiles dans votre situation.

• Arrêter WPAD à l’aide d’une entrée de fichier hôte

  1. Ouvrez le fichier hôte situé à l’emplacement suivant en tant qu’administrateur : %systemdrive%\Windows\System32\Drivers\etc\hosts
  2. Créez l’entrée suivante pour WPAD dans le fichier hôte : 255.255.255.255 wpad.

   

  Impact de la solution de contournement. La découverte de l’autoproxy ne fonctionnera pas et, pour cette raison, certaines applications, telles qu’Internet Explorer, ne pourront pas charger correctement les sites web.

  **Comment annuler la solution de contournement. **

  1. Ouvrez le fichier hôte situé à l’emplacement suivant en tant qu’administrateur : %systemdrive%\Windows\System32\Drivers\etc\hosts
  2. Supprimez l’entrée suivante pour WPAD dans le fichier hôte : 255.255.255.255 wpad.

** **

Une vulnérabilité d’usurpation qui pourrait autoriser des privilèges élevés existe dans Microsoft Windows lorsque NetBIOS gère de manière incorrecte les réponses. Un attaquant qui a réussi à exploiter la vulnérabilité peut l’utiliser pour détourner le trafic réseau ou afficher du contenu non approuvé dans un navigateur en dehors du mode protégé amélioré (EPM) ou d’un conteneur d’applications.

Pour exploiter la vulnérabilité, un attaquant dont le système est joint à un réseau local peut inciter un utilisateur à croire que le système de l’attaquant est un appareil réseau approuvé. La mise à jour résout la vulnérabilité en mettant à jour la façon dont NetBIOS valide les réponses.

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.

Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

• V1.0 (14 juin 2016) : Bulletin publié.
• V1.1 (22 juin 2016) : Bulletin révisé pour ajouter une faq sur la mise à jour sur les modifications de comportement à prendre en compte après l’installation de cette mise à jour. Il s’agit d’une modification d’information uniquement.
• V1.2 (13 juillet 2016) : Bulletin révisé pour corriger les solutions de contournement pour CVE-2016-3213 et CVE-2016-3236. Il s’agit d’une modification d’information uniquement. Les clients qui ont correctement installé les mises à jour n’ont pas besoin d’effectuer d’autres actions.
• V1.3 (09 août 2016) : Bulletin révisé pour inclure une vulnérabilité supplémentaire, CVE-2016-3299. Il s’agit d’une modification d’information uniquement. Les clients qui ont correctement installé les mises à jour n’ont pas besoin d’effectuer d’autres actions.

Page générée 2016-12-30 9 :48Z-08 :00.