Avis de sécurité Microsoft : Page d'accueil

Avis de sécurité Microsoft (899588)

Une vulnérabilité dans Plug and Play peut permettre l’exécution de code à distance et une élévation de privilèges

Paru le 08 novembre 2005 | Dernière mise à jour le 15-08-2005

Microsoft est en train d'analyser un ver malicieux circulant actuellement sur Internet, et identifié sous le nom de "Worm:Win32/Zotob.A", ainsi que ses variantes, afin d'aider ses clients à se protéger contre cette attaque. Ce ver malicieux exploite la vulnérabilité du service Plug and Play de Windows corrigée dans le bulletin de sécurité Microsoft MS05-039 du 9 août 2005.

Notre enquête initiale indique que ce vers attaque à distance les systèmes utilisant Windows 2000. Pour obtenir davantage d'informations sur ce ver, savoir comment le détecter sur votre système et comment réparer votre PC en cas d'infection, consultez la page Web consacrée à l'incident de sécurité Zotob ou l'Encyclopédie des virus Microsoft. (Worm:Win32/Zotob.A , Worm:Win32/Zotob.B ).

Les autres versions de Windows, notamment Windows XP Service Pack 2 et Windows Server 2003, ne sont pas affectées par le ver “Worm:Win32/Zotob.A” et ses variantes, à moins qu'elles n'aient été corrompues par d'autres logiciels malveillants. Les clients peuvent se protéger contre les attaques visant à exploiter cette vulnérabilité en installant dès à présent les mises à jour de sécurité fournies dans le bulletin de sécurité Microsoft MS05-039, qui est disponible sur le site Web suivant.

Microsoft poursuit activement son enquête afin de mieux aider ses clients à se protéger contre ce vers malicieux. Nous travaillons également en étroite collaboration avec nos partenaires antivirus et aidons les autorités judiciaires dans leurs propres investigations.

Microsoft est conscient du fait que plusieurs versions détaillées du code d'exploitation ont été publiées sur Internet concernant la vulnérabilité corrigée par le bulletin de sécurité Microsoft MS05-039 : Une vulnérabilité dans Plug and Play peut permettre l’exécution de code à distance et une élévation de privilèges (899588). Consultez la rubrique "Présentation" pour obtenir des liens vers des sites Web contenant des informations détaillées sur ce ver.

Lors de notre enquête sur ce code d'exploitation, nous avons pu vérifier que les clients qui ont installé sur leur ordinateur les mises à jour mentionnées dans le bulletin de sécurité Microsoft MS05-039 ne sont pas concernés par ce problème. Microsoft recommande à ses clients de mettre à jour les systèmes affectés en activant l'option Mises à jour automatiques de Windows.

Microsoft constate avec regret que certains chercheurs en sécurité informatique n'ont pas hésité à violer les codes de conduite en vigueur dans l'industrie en divulguant les données relatives à la vulnérabilité peu avant la publication de la mise à jour correspondante. La divulgation du code d'exploitation représente un risque réel pour les utilisateurs d'ordinateurs. Nous encourageons donc les chercheurs en sécurité informatique à divulguer les informations de manière responsable, afin de donner le temps aux clients de déployer les mises à jour nécessaires et de ne pas aider les criminels à exploiter davantage les vulnérabilités logicielles existantes.

Facteurs atténuants :

•	Les systèmes Windows 2000 sont les plus explosés à cette vulnérabilité. Les clients Windows 2000 ayant installé la mise à jour de sécurité du bulletin MS05-039 ne sont pas concernés par ce problème. Si un administrateur désactive les connexions anonymes en donnant au paramètre par défaut de la clé de Registre RestrictAnonymous la valeur 2, les systèmes Windows 2000 ne seront pas vulnérables aux attaques d'utilisateurs anonymes distants. Toutefois, en raison des risques liés à la compatibilité des applications, nous recommandons à nos clients d'activer ce paramètre uniquement après l'avoir testé de manière approfondie dans leur environnement de production. Pour plus d'informations, lancez une recherche sur le paramètre RestrictAnonymous sur le site Web d'aide et de support Microsoft.
•	Bien que Windows XP Service Pack 2 et Windows Server 2003 ne soient pas la cible actuelle de ce code d'exploitation, un attaquant possédant des informations d'identification valides et capable d’ouvrir une session au niveau local pourrait réussir à exploiter cette vulnérabilité sur ces systèmes d'exploitation. Les utilisateurs anonymes ou les utilisateurs possédant un compte standard sur Windows XP Service Pack 2 ou Windows Server 2003 ne peuvent pas exploiter cette vulnérabilité à distance, car une sécurité améliorée a été directement intégrée au composant affecté. Même si un administrateur active les connexions anonymes en modifiant le paramètre par défaut de la clé de Registre RestrictAnonymous , Windows XP Service Pack 2 et Windows Server 2003 ne seront pas vulnérables aux attaques à distance d'utilisateurs anonymes ou d'utilisateurs disposant de comptes standard. Toutefois, les utilisateurs disposant de permissions d’administration peuvent accéder à distance au composant affecté.
•	Bien que Windows XP Service Pack 1 ne soit pas la cible actuelle de ce code d'exploitation, un attaquant possédant des informations d'identification valides pourrait réussir à exploiter cette vulnérabilité sur ce système d'exploitation. Cette vulnérabilité ne peut pas être exploitée à distance par des utilisateurs anonymes. Cependant, les utilisateurs possédant un compte standard sur Windows XP Service Pack 1 peuvent accéder à distance au composant affecté. Sous sa forme actuelle, le code d'exploitation ne fournit pas les informations d'identification requises pour l'exploitation de cette vulnérabilité sur ces systèmes d'exploitation. Même si un administrateur active les connexions anonymes en modifiant le paramètre par défaut de la clé de Registre RestrictAnonymous , les systèmes Windows XP Service Pack 1 ne seront pas vulnérables aux attaques d'utilisateurs anonymes distants.
•	Ce problème n'affecte pas Windows 98, Windows 98 SE ou Windows Millenium Edition.

Informations générales

Présentation

But de cet avis : Attirer l'attention des clients sur les attaques actives possibles et sur la disponibilité d'une mise à jour de sécurité visant à les protéger contre ces menaces.

État de l'avis : Avis publié. Ce problème ayant déjà été traité dans le bulletin de sécurité MS05-019, aucune mise à jour supplémentaire n'est requise.

Recommandation : Les clients doivent installer la mise à jour de sécurité du bulletin MS05-039 afin de se protéger contre cette vulnérabilité.

Références	Identification
Références sur la vulnérabilité
Référence CVE	CAN-2005-1983
Bulletin de sécurité	MS05-039
Informations détaillées sur le ver et le code d'exploitation
Incident de sécurité Zotob	Site Web
Encyclopédie des virus Microsoft	Worm:Win32/Zotob.A , Worm:Win32/Zotob.B
Symantec	W32.Zotob.A , W32.Zotob.B
F-Secure	Zotob.A , Zotob.B
McAfee	W32/Zotob.worm , W32/Zotob.worm.b

Remarque : Les futures variantes de ce ver ne seront pas intégrées à cet avis, à moins qu'elles ne soient sensiblement différentes des versions existantes.

Cet avis porte sur les logiciels suivants.

Logiciels apparentés
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Édition 64 bits Service Pack 1 (Itanium)
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Édition 64 bits version 2003 (Itanium)
Microsoft Windows XP Professionnel Édition 64 bits
Microsoft Windows Server 2003
Microsoft Windows Server 2003 pour les systèmes Itanium
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium
Microsoft Windows Server 2003 Édition 64 bits
Microsoft Windows 98, Microsoft Windows 98 Deuxième édition (SE), Microsoft Windows Millennium Edition (ME)

Top of section

Forum aux questions

Quelle est la portée de cet avis ?
Microsoft est conscient du fait que plusieurs versions détaillées du code d'exploitation ont été publiées sur Internet concernant la vulnérabilité corrigée par le bulletin de sécurité Microsoft MS05-039 : Une vulnérabilité dans Plug and Play peut permettre l’exécution de code à distance et une élévation de privilèges (899588). Plusieurs vers Internet actuels ont été modifiés de manière à utiliser ce code d'exploitation. Microsoft est désormais conscient des attaques actives visant à exploiter cette vulnérabilité et surveille de près l'évolution de la situation afin de tenir ses clients informés et de leur fournir les conseils nécessaires.

Lors de notre enquête sur ce code d'exploitation, nous avons pu vérifier que les clients ayant installé sur leur ordinateur les mises à jour mentionnées dans le bulletin MS05-039 ne sont pas concernés par ce problème. Microsoft recommande à ses clients de mettre à jour les systèmes affectés en activant l'option Mises à jour automatiques de Windows.

Cette vulnérabilité nécessite-t-elle la publication par Microsoft d'une nouvelle mise à jour de sécurité ?
Non. Les clients Windows 2000 ayant installé les mises à jour de sécurité du bulletin MS05-039 ne sont pas concernés par ce problème.

D'où vient cette menace ?
Un tampon non contrôlé dans le service Plug and Play. Pour obtenir plus d’informations sur cette vulnérabilité, reportez-vous au bulletin de sécurité MS05-039.

Que pourrait faire un attaquant en exploitant cette fonctionnalité ?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Top of section

Actions suggérées

•	Les clients doivent installer la mise à jour de sécurité du bulletin MS05-039afin de se protéger contre cette vulnérabilité. Les systèmes Windows 2000 sont les plus explosés à cette vulnérabilité. Les clients ayant installé les mises à jour de sécurité du bulletin MS05-039 ne sont pas concernés par ce problème.
•	Si vous pensez que votre PC a été infecté par ce ver ou ses variantes, vous devez le nettoyer. Pour savoir comment détecter ce ver et ses variantes sur votre système et comment réparer votre PC en cas d'infection, consultez la page Web consacrée à l'incident de sécurité Zotob ou l'Encyclopédie des virus Microsoft. (Worm:Win32/Zotob.A , Worm:Win32/Zotob.B ).
•	Les clients qui pensent être concernés par ce problème peuvent déposer plainte sur le site Web Internet Fraud Complaint Center ou contacter les autorités judiciaires appropriées en France.
•	Les clients résidant en France et qui pensent être concernés par ce problème peuvent contacter les services de support produits Microsoft en appelant le numéro suivant : 0 825 827 829. Le support technique ayant trait aux mises à jour de sécurité ou aux virus n'est pas facturé. Les clients internationaux peuvent bénéficier d'un support technique en utilisant un des moyens indiqués sur le site Web Centre de Support Sécurité pour le grand public. Tous les clients doivent appliquer les mises à jour de sécurité Microsoft les plus récentes afin de protéger leur système contre toute attaque. Les clients ayant activé la fonction Mises à jour automatiques recevront automatiquement les mises à jour Windows. Pour plus d'informations sur les mises à jour de sécurité, rendez-vous sur le site Web Microsoft Sécurité .
•	Protégez votre PC Nous encourageons nos clients à suivre les conseils de la section Protégez votre PC concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour en savoir plus à ce sujet, consultez le site Web Protégez votre PC.
•	Tenez à jour vos logiciels Windows Si vous utilisez Windows, vous devez installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum votre ordinateur. Pour ce faire, rendez-vous sur le site Web Windows Update, effectuez la vérification des mises à jour requises sur votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé la fonction Mises à jour automatiques, les mises à jour vous seront fournies dès leur publication ; toutefois, il vous appartiendra de veiller à les installer.

Top of section

Ressources :

•	Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web suivant.
•	En cas de problème, contactez les services de support produits de Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web d'aide et de support Microsoft.
•	Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web International Support.
•	Le site Web Espace Sécurité Technet fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Dédit de responsabilité :

Les informations contenues dans cet avis sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d’adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas vous concerner.

Révisions :

•	11 août 2005 : Avis publié
•	14 août 2005 : Cet avis a été mis à jour pour informer les utilisateurs que Microsoft est en train d'analyser le ver malicieux "Worm:Win32/Zotob.A" afin de les aider à se protéger contre cette attaque.
•	15 août 2005 : Cet avis a été mis à jour de manière à tenir compte des nouvelles variantes du ver Worm:Win32/Zotob.A et pour fournir des informations supplémentaires sur l'impact de la clé de Registre RestrictAnonymous.

Haut de page