Bulletin de sécurité Microsoft MS15-031 - Important

La vulnérabilité dans Schannel pourrait autoriser le contournement des fonctionnalités de sécurité (3046049)

Publication : 10 mars 2015 | Mise à jour : 24 mars 2015

Version : 1.1

Résumé

Cette mise à jour de sécurité résout une vulnérabilité dans Microsoft Windows qui facilite l’exploitation de la technique FREAK divulguée publiquement, un problème à l’échelle du secteur qui n’est pas spécifique aux systèmes d’exploitation Windows. La vulnérabilité peut permettre à un attaquant miTM (man-in-the-middle) de forcer la rétrogradation de la longueur de clé d’une clé RSA à la longueur export-grade dans une connexion TLS. Tout système Windows utilisant Schannel pour se connecter à un serveur TLS distant avec une suite de chiffrement non sécurisée est affecté.

Cette mise à jour de sécurité est évaluée comme importante pour toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.

La mise à jour de sécurité résout la vulnérabilité en corrigeant les stratégies d’application de la suite de chiffrement utilisées lorsque les clés de serveur sont échangées entre les serveurs et les systèmes clients. Pour plus d’informations sur la vulnérabilité, consultez la section Informations sur les vulnérabilités.

Cette mise à jour de sécurité traite également de la vulnérabilité décrite en premier dans microsoft Security Advisory 3046015.

Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3046049.

Logiciel affecté

Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.

Système d’exploitation Impact maximal sur la sécurité Évaluation de gravité agrégée Mises à jour remplacé
Windows Server 2003
Windows Server 2003 Service Pack 2 (3046049) Contournement des fonctionnalités de sécurité Important 2992611 dans MS14-066
Windows Server 2003 édition x64 Service Pack 2 (3046049) Contournement des fonctionnalités de sécurité Important 2992611 dans MS14-066
Windows Server 2003 avec SP2 pour les systèmes Itanium (3046049) Contournement des fonctionnalités de sécurité Important 2992611 dans MS14-066
Windows Vista
Windows Vista Service Pack 2 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Vista x64 Edition Service Pack 2 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2008
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2008 pour systèmes x64 Service Pack 2 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows 7
Windows 7 pour systèmes 32 bits Service Pack 1 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows 7 pour systèmes x64 Service Pack 1 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2008 R2
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows 8 et Windows 8.1
Windows 8 pour systèmes 32 bits (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows 8 pour systèmes x64 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows 8.1 pour les systèmes 32 bits (3046049) Contournement des fonctionnalités de sécurité Important Aucun
Windows 8.1 pour les systèmes x64 (3046049) Contournement des fonctionnalités de sécurité Important Aucun
Windows Server 2012 et Windows Server 2012 R2
Windows Server 2012 (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2012 R2 (3046049) Contournement des fonctionnalités de sécurité Important Aucun
Windows RT et Windows RT 8.1
Windows RT[1](3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows RT 8.1[1](3046049) Contournement des fonctionnalités de sécurité Important Aucun
Option d’installation server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2012 (installation minimale) (3046049) Contournement des fonctionnalités de sécurité Important 3023562 dans MS15-010
Windows Server 2012 R2 (installation minimale) (3046049) Contournement des fonctionnalités de sécurité Important Aucun

Notez que la mise à jour est disponible pour Windows Technical Preview et Windows Server Technical Preview. Les clients exécutant ces systèmes d’exploitation sont encouragés à appliquer la mise à jour, disponible via Windows Update.

[1]Cette mise à jour est disponible uniquement via Windows Update .

Faq sur la mise à jour

Après avoir installé la mise à jour, les chiffrements EXPORT sont toujours activés sur Windows Server 2003 ; comment les désactiver ?
Pour désactiver les chiffrements EXPORT sur les systèmes Windows Server 2003, suivez les instructions fournies dans l’article de la Base de connaissances Microsoft 3050509.

Évaluations de gravité et identificateurs de vulnérabilité

Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de mars.

Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés
Logiciel affecté Vulnérabilité de contournement des fonctionnalités de sécurité Schannel - CVE-2015-1637 Évaluation de gravité agrégée
Windows Server 2003
Windows Server 2003 Service Pack 2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2003 x64 Edition Service Pack 2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2003 avec SP2 pour les systèmes Itanium (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Vista
Windows Vista Service Pack 2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Vista x64 Edition Service Pack 2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2008
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2008 pour systèmes x64 Service Pack 2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows 7
Windows 7 pour systèmes 32 bits Service Pack 1 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows 7 pour systèmes x64 Service Pack 1 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2008 R2
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows 8 et Windows 8.1
Windows 8 pour systèmes 32 bits (3046049) Contournement important des fonctionnalités de sécurité Important
Windows 8 pour systèmes x64 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows 8.1 pour les systèmes 32 bits (3046049) Contournement important des fonctionnalités de sécurité Important
Windows 8.1 pour les systèmes x64 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2012 et Windows Server 2012 R2
Windows Server 2012 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2012 R2 (3046049) Contournement important des fonctionnalités de sécurité Important
Windows RT et Windows RT 8.1
Windows RT (3046049) Contournement important des fonctionnalités de sécurité Important
Windows RT 8.1 (3046049) Contournement important des fonctionnalités de sécurité Important
Option d’installation server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2012 (installation minimale) (3046049) Contournement important des fonctionnalités de sécurité Important
Windows Server 2012 R2 (installation minimale) (3046049) Contournement important des fonctionnalités de sécurité Important

Informations sur la vulnérabilité

Vulnérabilité de contournement des fonctionnalités de sécurité Schannel - CVE-2015-1637

Une vulnérabilité de contournement des fonctionnalités de sécurité existe dans le canal sécurisé (Schannel) qui est causée par un problème dans l’ordinateur d’état TLS dans lequel un système client accepte une clé RSA avec une longueur de clé plus courte que la longueur de clé négociée à l’origine. La vulnérabilité facilite l’exploitation de la technique FREAK divulguée publiquement, qui est un problème à l’échelle du secteur qui n’est pas spécifique aux systèmes d’exploitation Windows.

Dans une attaque miTM (man-in-the-middle), un attaquant peut rétrograder la longueur de clé d’une clé RSA à la longueur de niveau EXPORT dans une session TLS chiffrée. L’attaquant peut ensuite intercepter et déchiffrer ce trafic. Tout système Windows qui se connecte à un serveur TLS en tant que client est affecté. Un attaquant qui a réussi à exploiter cette vulnérabilité peut effectuer des attaques MiTM qui pourraient déchiffrer le trafic chiffré.

La mise à jour de sécurité résout la vulnérabilité en corrigeant les stratégies d’application de la suite de chiffrement utilisées lorsque les clés de serveur sont échangées entre les serveurs et les systèmes clients.

Cette vulnérabilité a été divulguée publiquement. Il a été affecté à la vulnérabilité commune et au numéro d’exposition CVE-2015-1637. Lorsque ce bulletin a été publié à l’origine, Microsoft n’avait reçu aucune information pour indiquer que ce problème avait été utilisé publiquement pour attaquer les clients.

Facteurs d’atténuation

Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

  • Un serveur doit prendre en charge les chiffrements d’exportation d’échange de clés RSA pour qu’une attaque réussisse ; les chiffrements sont désactivés dans les configurations par défaut de Windows Vista/Server 2008 et les systèmes d’exploitation ultérieurs.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles dans votre situation :

  • Désactiver les chiffrements d’échange de clés RSA à l’aide de l’Éditeur d’objets de stratégie de groupe (Windows Vista et systèmes ultérieurs uniquement)
    Vous pouvez désactiver les chiffrements d’échange de clés RSA dans Windows Vista et les systèmes ultérieurs en modifiant l’ordre de la suite de chiffrement SSL dans l’éditeur d’objets de stratégie de groupe.

    Notez que l’installation de cette mise à jour (3046049) protège les systèmes contre la vulnérabilité décrite dans ce bulletin. Les clients qui ont précédemment implémenté cette solution de contournement devront suivre les étapes permettant d’annuler la solution de contournement s’ils souhaitent utiliser l’un des chiffrements précédemment désactivés.

    Pour désactiver les chiffrements d’échange de clés RSA, vous devez spécifier les chiffrements que Windows doit utiliser en effectuant les étapes suivantes :

    1. À l’invite de commandes, tapez gpedit.msc et appuyez sur Entrée pour démarrer l’Éditeur d’objet de stratégie de groupe.

    2. Développez Configuration ordinateur, modèles Administration istratives, réseau, puis cliquez sur Configuration SSL Paramètres.

    3. Sous configuration SSL Paramètres, double-cliquez sur Ordre de suite de chiffrement SSL.

    4. Dans la fenêtre Ordre des suites de chiffrement SSL, cliquez sur Activé.

    5. Dans le volet Options : double-cliquez pour mettre en surbrillance l’intégralité du contenu du champ Suites de chiffrement SSL, puis remplacez son contenu par la liste de chiffrement suivante :

      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
       TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
       TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
       TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
       TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
       TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
       TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
       TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
       TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA`
      
    6. Cliquez sur OK.

    7. Fermez l’Éditeur d’objets de stratégie de groupe, puis redémarrez votre système.

      Impact de la solution de contournement. Windows ne parvient pas à se connecter aux systèmes qui ne prennent pas en charge les chiffrements répertoriés dans la solution de contournement. Pour déterminer les chiffrements disponibles pour chaque protocole de chiffrement, reportez-vous aux suites de chiffrement dans Schannel.

Comment annuler la solution de contournement. Procédez comme suit pour désactiver le paramètre de stratégie de commande de la suite de chiffrement SSL :

  1. À l’invite de commandes, tapez gpedit.msc et appuyez sur Entrée pour démarrer l’Éditeur d’objet de stratégie de groupe.
  2. Développez Configuration ordinateur, modèles Administration istratives, réseau, puis cliquez sur Configuration SSL Paramètres.
  3. Sous configuration SSL Paramètres, double-cliquez sur Ordre de suite de chiffrement SSL.
  4. Dans la fenêtre Ordre des suites de chiffrement SSL, cliquez sur Désactivé , puis sur OK.
  5. Fermez l’Éditeur d’objets de stratégie de groupe, puis redémarrez votre système.

Déploiement des mises à jour de sécurité

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.

Remerciements

Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (10 mars 2015) : Bulletin publié.
  • V1.1 (24 mars 2015) : Bulletin révisé pour ajouter un FAQ aux clients vers l’article de la Base de connaissances Microsoft 3050509 pour obtenir des instructions sur la désactivation des chiffrements EXPORT après l’installation de la mise à jour sur les systèmes Windows Server 2003.

Page générée 2015-03-23 16 :56Z-07 :00.