Avis de sécurité Microsoft 921923

  • 10/11/2017
  • 8 minutes à lire
    • B

Avis de sécurité

Preuve de la sécurité de l’utilisateur Code Concept Publié Affectant le Service Remote Access Connection Manager

Publié: 23 juin 2006

Microsoft est conscient que du code d’exploit détaillé a été publié sur Internet pour la vulnérabilité traitée par le bulletin de sécurité Microsoft MS06-025. Microsoft n’est actuellement pas au courant des attaques actives qui utilisent ce code d’exploit ou de l’impact client pour le moment. Cependant, Microsoft surveille activement cette situation pour tenir les clients informés et fournir des conseils aux clients si nécessaire.
Notre enquête sur ce code d’exploit a vérifié qu’il n’affecte pas les clients qui ont installé les mises à jour détaillées dans MS06-025 sur leurs ordinateurs. Microsoft continue de recommander aux clients d’appliquer les mises à jour aux produits concernés en activant la fonctionnalité de mises à jour automatiques dans Windows.
Microsoft est déçu que certains chercheurs en sécurité aient enfreint la pratique communément admise de l’industrie consistant à retenir des données de vulnérabilité si proches de la mise à jour et aient publié du code d’exploit, ce qui pourrait nuire aux utilisateurs d’ordinateurs. Nous continuons d’exhorter les chercheurs en sécurité à divulguer les informations sur les vulnérabilités de manière responsable et à laisser aux clients le temps de déployer les mises à jour afin qu’ils n’aident pas les criminels dans leur tentative de tirer parti des vulnérabilités logicielles

Facteurs atténuants:

  • Les clients qui ont installé la mise à jour de sécurité MS06-025 ne sont pas affectés par cette vulnérabilité.
  • Les systèmes Windows 2000 sont principalement exposés à cette vulnérabilité. Les clients exécutant Windows 2000 doivent déployer MS06-025 dès que possible ou désactiver le service RASMAN.
  • Sous Windows XP Service Pack 2, Windows Server 2003 et Windows Server 2003 Service Pack 1, l’attaquant doit disposer d’informations d’identification de connexion valides pour exploiter la vulnérabilité.
  • Ce problème n’affecte pas Windows 98, Windows 98 SE ou Windows Millennium Edition.

Informations générales

Aperçu

Objet de l’avis : Notification de la disponibilité d’une mise à jour de sécurité pour aider à se protéger contre cette menace potentielle.

Statut consultatif : Comme ce problème est déjà traité dans le bulletin de sécurité MS06-025, aucune mise à jour supplémentaire n’est requise.

Recommandation : Installez la mise à jour de sécurité MS06-025 pour vous protéger contre cette vulnérabilité.

Identification
CVE Reference CVE-2006-2370
CVE-2006-2371
Security Bulletin MS06-025

This advisory discusses the following software.

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 pour Systèmes basés sur Itanium et Microsoft Windows Server 2003 avec SP1 pour les Systèmes basés sur Itanium

Édition Microsoft Windows Server 2003 x64

Foire aux questions

Quelle est la portée de l’avis ?
Microsoft est au courant de l’affichage public de vulnérabilités de ciblage de code d’exploit identifiées dans la mise à jour de sécurité Microsoft MS06-025. Cela affecte le logiciel répertorié dans la section ”Aperçu »

Est-ce une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité?
Non. Les clients qui ont installé la mise à jour de sécurité MS06-025 ne sont pas affectés par cette vulnérabilité. Aucune mise à jour supplémentaire n’est requise.

Quelles sont les causes de cette menace ?
Un tampon non contrôlé dans les technologies de routage et d’accès à distance affectant spécifiquement le service RASMAN (Remote Access Connection Manager Service)

Que fait la fonctionnalité ?
Le Gestionnaire de connexion d’accès distant est un service qui gère les détails de l’établissement de la connexion au serveur distant. Ce service fournit également au client des informations d’état pendant l’opération de connexion. Le Gestionnaire de connexions d’accès à distance démarre automatiquement lorsqu’une application charge le RASAPI32.DLL

Que peut faire un attaquant avec cette fonction ?
Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait prendre le contrôle complet du système affecté.

Y a-t-il des problèmes connus avec l’installation de la mise à jour de sécurité Microsoft MS06-025 qui protège contre cette menace?
L’article 911280 de la Base de connaissances Microsoft documente les problèmes actuellement connus que les clients peuvent rencontrer lors de l’installation de la mise à jour de sécurité. Seuls les clients qui utilisent des connexions commutées qui utilisent des scripts qui configurent leur appareil pour la parité, des bits d’arrêt ou des bits de données ou une fenêtre de terminal post-connexion ou des scripts de numérotation sont concernés par les problèmes identifiés dans l’article de la base de connaissances. Si les clients n’utilisent aucun des scénarios d’accès commuté identifiés, ils sont encouragés à installer la mise à jour immédiatement..

Actions suggérées

Si vous avez installé la mise à jour publiée avec le bulletin de sécurité MS06-025, vous êtes déjà protégé contre l’attaque identifiée dans le code de preuve de concept publié publiquement. Si vous n’avez pas installé la mise à jour ou si vous êtes affecté par l’un des scénarios identifiés dans l’article 911280 de la Base de connaissances Microsoft, les clients sont invités à désactiver le service Remote Access Connection Manager.

  • Désactiver le service Remote Access Connection Manager

    La désactivation du service Remote Access Connection Manager aidera à protéger le système affecté contre les tentatives d’exploitation de cette vulnérabilité. Pour désactiver le service RASMAN (Remote Access Connection Manager), procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration. Sinon, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
    2. Double-cliquez sur Outils d’administration.
    3. Double-cliquez sur Services.
    4. Double-cliquez sur Remote Access Connection Manager
    5. Dans la liste Type de démarrage, cliquez sur Désactivé.
    6. Cliquez sur Arrêter, puis sur OK.

    Vous pouvez également arrêter et désactiver le service RASMAN (Remote Access Connection Manager) en utilisant la commande suivante à l’invite de commande :

    sc stop rasman & sc config rasman start= disabled

    Impact de la solution de contournement: Si vous désactivez le service Remote Access Connection Manager, vous ne pouvez pas proposer de services de routage à d’autres hôtes dans des environnements de réseau local et étendu. Par conséquent, nous recommandons cette solution de contournement uniquement sur les systèmes qui ne nécessitent pas l’utilisation de RASMAN pour l’accès à distance et le routage.

  • Bloquez les éléments suivants au niveau du pare-feu:

    • Ports UDP 135, 137, 138 et 445 et Ports TCP 135, 139, 445 et 593
    • Tout trafic entrant non sollicité sur des ports supérieurs à 1024
    • Tout autre port RPC spécifiquement configuré

    Ces ports sont utilisés pour initier une connexion avec RPC. Les bloquer au niveau du pare-feu aidera à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d’exploitation de cette vulnérabilité. Assurez-vous également de bloquer tout autre port RPC spécifiquement configuré sur le système distant. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées d’Internet pour aider à prévenir les attaques pouvant utiliser d’autres ports. Pour plus d’informations sur les ports utilisés par RPC, visitez le site Web suivant.

  • Pour vous protéger contre les tentatives d’exploitation de cette vulnérabilité en réseau, utilisez un pare-feu personnel, tel que le Pare-feu de connexion Internet, inclus dans Windows XP et Windows Server 2003.

    Par défaut, la fonction de pare-feu de connexion Internet de Windows XP et de Windows Server 2003 permet de protéger votre connexion Internet en bloquant le trafic entrant non sollicité. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées d’Internet. Dans le Service Pack 2 de Windows XP, cette fonctionnalité s’appelle le pare-feu Windows.

    Pour activer la fonction de pare-feu de connexion Internet à l’aide de l’Assistant de configuration réseau, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans la vue Catégorie par défaut, cliquez sur Connexions Réseau et Internet, puis cliquez sur Configurer ou modifier votre réseau domestique ou de petit bureau. La fonction de pare-feu de connexion Internet est activée lorsque vous sélectionnez une configuration dans l’Assistant de configuration réseau qui indique que votre système est connecté directement à Internet.

    Pour configurer manuellement le Pare-feu de connexion Internet pour une connexion, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans la vue Catégorie par défaut, cliquez sur Connexions Réseau et Internet, puis sur Connexions réseau.
    3. Cliquez avec le bouton droit sur la connexion sur laquelle vous souhaitez activer le Pare-feu de connexion Internet, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Avancé.
    5. Cliquez pour sélectionner la case à cocher Protéger mon ordinateur ou le réseau en limitant ou en empêchant l’accès à cet ordinateur depuis Internet, puis cliquez sur OK.

    Remarque Si vous souhaitez permettre à certains programmes et services de communiquer via le pare-feu, cliquez sur Paramètres dans l’onglet Avancé, puis sélectionnez les programmes, les protocoles et les services requis.

  • Les clients qui pensent avoir été attaqués doivent contacter leur bureau local du FBI ou publier leur plainte sur le site Web du Centre de plaintes pour fraude Internet. Les clients en dehors des États-Unis doivent contacter l’agence nationale d’application de la loi de leur pays.

  • Clients dans l’U.e.S. et le Canada qui croit avoir été touché par cette vulnérabilité peut recevoir le soutien technique des Services de soutien aux produits de Microsoft au 1-866-PCSAFETY. Il n’y a aucun frais pour le support associé aux problèmes de mise à jour de sécurité ou aux virus. »Les clients internationaux peuvent recevoir une assistance en utilisant l’une des méthodes répertoriées sur le site Web d’Aide et d’assistance à la sécurité pour les utilisateurs à domicile.
    Tous les clients doivent appliquer les mises à jour de sécurité les plus récentes publiées par Microsoft pour s’assurer que leurs systèmes sont protégés contre les tentatives d’exploitation. Les clients qui ont activé les mises à jour automatiques recevront automatiquement toutes les mises à jour Windows. Pour plus d’informations sur les mises à jour de sécurité, visitez le site Web de sécurité de Microsoft.

  • Pour plus d’informations sur la sécurité sur Internet, les clients peuvent visiter la page d’accueil de theMicrosoft Security.

  • Gardez Windows à jour

    Tous les utilisateurs de Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour s’assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez le site Web de Windows Update, analysez votre ordinateur à la recherche des mises à jour disponibles et installez les mises à jour prioritaires qui vous sont proposées. Si les mises à jour automatiques sont activées, les mises à jour vous sont livrées lorsqu’elles sont publiées, mais vous devez vous assurer de les installer.

Autres informations

Ressources:

  • Vous pouvez fournir des commentaires en remplissant le formulaire en visitant le site Web suivant.
  • Clients aux États-Unis et le Canada peut recevoir une assistance technique des Services d’assistance produit de Microsoft. Pour plus d’informations sur les options de support disponibles, consultez le site Web d’aide et de support Microsoft.
  • Les clients internationaux peuvent recevoir l’assistance de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour des problèmes de support international, visitez le site Web de Support international.
  • Le site Web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité des produits Microsoft.

Avertissement:

Les informations fournies dans le présent avis sont fournies  » telles quelles  » sans garantie d’aucune sorte. Microsoft décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande et d’adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne peuvent en aucun cas être tenus responsables de quelque dommage que ce soit, y compris des dommages directs, indirects, accessoires, consécutifs, une perte de profits commerciaux ou des dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la limitation qui précède peut ne pas s’appliquer.

Révisions :

  • Avis publié le 23 juin 2006



Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.