Avis de sécurité Microsoft : Page d'accueil

Avis de sécurité Microsoft (945713)

Une vulnérabilité dans WPAD pourrait permettre la divulgation d'informations

Paru le 03 décembre 2007 | Dernière mise à jour le 09 janvier 2008

Microsoft étudie de nouveaux rapports faisant état d'une vulnérabilité liée à la façon dont Windows résout les noms d'hôte qui n'incluent pas de nom de domaine complet (FQDN - Fully Qualified Domain Name). La technologie concernée par cette vulnérabilité est la découverte automatique de proxy Web (WPAD - Web Proxy Auto-Discovery). Microsoft n'a reçu aucune information indiquant que cette vulnérabilité a été publiquement utilisée dans des attaques ciblant ses clients. À ce jour, Microsoft n'a connaissance d'aucun impact sur ses clients. Microsoft étudie ces rapports avec attention. Les clients dont le nom de domaine commence par un troisième niveau ou plus profond, tel que « contoso.co.us » ou pour qui les facteurs atténuants suivants ne s'appliquent pas sont exposés à cette vulnérabilité.

Dès la fin de cette enquête, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients. Ceci peut comprendre la mise à disposition d'un correctif de sécurité lors du cycle mensuel ou lors d'une publication exceptionnelle.

Facteurs atténuants :

Les clients qui n'ont pas configuré de suffixe DNS principal sur leur système ne sont pas concernés par cette vulnérabilité. Dans la plupart des cas, les utilisateurs particuliers dont l'ordinateur n'est pas membre d'un domaine ne possèdent pas de suffixe DNS principal configuré. Les suffixes DNS spécifiques à une connexion peuvent être fournis par certains fournisseurs d'accès à Internet (FAI). Ces configurations ne sont pas concernées par cette vulnérabilité.

Les clients dont le nom de domaine DNS est enregistré en tant que domaine de second niveau (SLD) sous un domaine de premier niveau (TLD) ne sont pas concernés par cette vulnérabilité. Nos clients dont les suffixes DNS reflètent ce type d'enregistrement ne seraient pas concernés par cette vulnérabilité. Exemple de client non concerné : contoso.com ou fabrikam.gov, où « contoso » et « fabrikam » sont des SLD enregistrés par nos clients sous les TLD respectifs « .com » et « .gov ».

Les clients qui ont spécifié un serveur proxy à l'aide de paramètres de serveur DHCP ou via DNS ne sont pas concernés par cette vulnérabilité.

Les clients qui possèdent un serveur WPAD de confiance dans leur organisation ne sont pas concernés par cette vulnérabilité. (Consultez la section « Solutions de contournement » pour obtenir les étapes spécifiques de création d'un fichier WPAD.DAT sur un serveur WPAD).

Les clients qui ont spécifié manuellement un serveur proxy dans Internet Explorer ne sont pas concernés par cette vulnérabilité lorsqu'ils utilisent Internet Explorer.

Les clients qui ont désactivé l'option « Détecter automatiquement les paramètres de connexion » dans Internet Explorer ne sont pas concernés par cette vulnérabilité lorsqu'ils utilisent Internet Explorer.

Informations générales

Présentation

But de cet avis : Informer les clients, leur communiquer les facteurs atténuants et les solutions de contournement concernant cette vulnérabilité qui a été publiquement révélée. Consultez la section « Actions suggérées » de cet avis de sécurité pour plus d'informations.

État de l'avis : À l'étude

Recommandation : Consultez et exécutez, le cas échéant, les actions suggérées.

RéférencesIdentification

Référence CVE

CVE-2007-5355

Article de la Base de connaissances Microsoft

945713

Cet avis porte sur les logiciels suivants.

Logiciels concernés

Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2

Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 :

Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2

Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium

Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2

Windows Vista

Windows Vista Édition x64

Internet Explorer 5.01 Service Pack 4 pour Microsoft Windows 2000 Service Pack 4

Internet Explorer 6 Service Pack 1 pour Windows 2000 Service Pack 4

Internet Explorer 6 sur Windows XP Service Pack 2

Internet Explorer 6 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2

Internet Explorer 6 pour Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium

Internet Explorer 6 sur Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2

Internet Explorer 7 sur Windows XP Service Pack 2

Internet Explorer 7 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2

Internet Explorer 7 pour Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium

Internet Explorer 7 sur Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2

Internet Explorer 7 pour Windows Vista

Internet Explorer 7 pour Windows Vista Édition x64

Top of sectionTop of section

Forum aux questions

Quelle est la portée de cet avis ?
Microsoft a connaissance de l'apparition d'une nouvelle vulnérabilité affectant la découverte automatique de proxy Web (WPDA - Web Proxy Auto-Discovery, ), une fonctionnalité de Microsoft Windows. Les logiciels concernés par cette vulnérabilité sont répertoriés dans la section « Présentation ».

Que signifient les termes utilisés dans cet avis ?
Afin de mieux expliquer la nature de cette vulnérabilité, voici les explications sur la terminologie utilisée dans cet avis :

Domaine de premier niveau (TLD - Top-Level Domain) : la dernière partie d'un nom de domaine Internet. Ce sont les lettres qui suivent le dernier point de tout nom de domaine. Par exemple, dans le nom de domaine wpad.western.corp.contoso.co.us, le TLD est « .us ». Les TLD peuvent être principalement répartis selon deux types : TLD de pays et TLD génériques. Les TLD de pays sont des abréviations en deux lettres, spécifiques à chaque pays. Dans cet exemple, « .us » correspond aux États-Unis. Les TLD génériques sont généralement aisément reconnus. Ce sont les abréviations de trois lettres (ou davantage) telles que « .com », « .net », « .org », etc. Pour une liste complète de tous les TLD disponibles, reportez-vous à la liste suivante de l'IANA.

Domaine de second niveau (Second-Level Domain - SLD) : domaine situé directement en-dessous du TLD. Dans l'exemple précédent, wpad.western.corp.contoso.co.us, le SLD est « .co ». Généralement, les SLD sont enregistrés sous les TLD de code pays. Les États-Unis utilisent principalement les SLD pour l'enregistrement des états américains, tel que « .co.us » pour l'état du Colorado par exemple. D'autres SLD réutilisent généralement des noms de TLD communs tels que « .com.sg ».

Quel est le rôle de cette fonctionnalité ?
La fonctionnalité découverte automatique du proxy Web (WPDA - Web Proxy Auto-Discovery, ) permet aux clients Web de détecter automatiquement les paramètres de proxy sans intervention de l'utilisateur. La fonctionnalité WPDA ajoute comme préfixe le nom d'hôte « wpad » au nom de domaine complet et supprime progressivement les sous-domaines jusqu'à ce qu'elle trouve un serveur WPAD répondant. Par exemple, les clients Web dans le domaine western.corp.contoso.co.us interrogeraient wpad.western.corp.contoso.co.us, wpad.corp.contoso.co.us, puis wpad.contoso.co.us. Ce processus est appelé « dévolution ». Pour obtenir des informations supplémentaires sur le service Client DNS et la dévolution, reportez-vous à cet article MSDN, section Résolution de noms pour noms de domaines non complets en une partie.

D'où vient cette menace ?
Un utilisateur malveillant pourrait héberger un serveur WPAD, l'établissant comme serveur proxy pour mener des attaques d'interception par rapport aux clients dont les domaines sont enregistrés en tant que sous-domaines d'un domaine de second niveau (SLD). Pour les clients ayant configuré un suffixe DNS principal la résolution DNS dans Windows tentera de résoudre le nom d'hôte « wpad » en utilisant chaque sous-domaine du suffixe DNS jusqu'à ce que le domaine de second niveau soit atteint. Par exemple, si le suffixe DNS est corp.contoso.co.us et qu'une tentative de résolution de nom d'hôte « wpad » est effectuée, la résolution DNS essaiera wpad.corp.contoso.co.us. En cas de recherche infructueuse, une dévolution DNS sera effectuée suivie d'une tentative de résolution de « wpad.contoso.co.us ». Si la requête est à nouveau infructueuse, une tentative de résolution de « wpad.co.us » sera effectuée, ce qui est en dehors du domaine « contoso.co.us ».

Top of sectionTop of section

Actions suggérées

Solutions de contournement

Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :

Créer un fichier auto-configuration de proxy WPAD.DAT sur un hôte nommé WPAD dans votre organisation afin de rediriger les navigateurs Web vers le proxy de votre organisation.

Pour créer un fichier auto-configuration de proxy WPAD.DAT, procédez comme suit :

1.

Créez un fichier WPAD.DAT conforme à la spécification auto-configuration de proxy. Pour plus d'informations sur les fichiers auto-configuration de proxy (PAC - Proxy Auto-Configuration) et obtenir un fichier exemple, reportez-vous à cet article MSDN.

2.

Placez le fichier WPAD.DAT dans le répertoire racine d'un serveur Web dans votre organisation et assurez-vous qu'une requête sur ce fichier peut être effectuée de manière anonyme.

3.

Créez un type MIME « application/x-ns-proxy-autoconfig » pour le fichier WPAD.DAT sur le serveur Web.

4.

Créez les entrées appropriées dans le serveur DHCP ou DNS de votre organisation pour autoriser la découverte du serveur WPAD.

Impact de cette solution de contournement : Aucun.

Top of sectionTop of section
Désactiver l'option « Détecter automatiquement les paramètres de connexion » dans Internet Explorer

Pour désactiver l'option Détecter automatiquement les paramètres de connexion dans Internet Explorer, procédez comme suit :

1.

Démarrez Internet Explorer.

2.

Dans le menu Outils, sélectionnez Options Internet.

3.

Dans l'onglet Connexions, cliquez sur Paramètres réseau.

4.

Désactivez l'option Détecter automatiquement les paramètres de connexion sur la page Paramètres du réseau local.

Impact de cette solution de contournement : Internet Explorer ne détectera plus automatiquement les paramètres de proxy.

Top of sectionTop of section
Désactiver la dévolution DNS

Pour désactiver la dévolution DNS automatique, enregistrez ce qui suit dans un fichier .REG, puis exécutez regedit.exe /s <nomdufichier.REG> depuis une invite de commande sous privilèges élevés ou d'administration :

Remarque : Reportez-vous à UseDomainNameDevolution pour plus d'informations sur la valeur de Registre UseDomainNameDevolution.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient] "UseDomainNameDevolution"=dword:00000000

Pour que les modifications prennent effet, le service client DNS doit être arrêté et redémarré. Vous pouvez le faire depuis une invite de commande sous privilèges élevés ou d'administration à l'aide de la commande suivante :

net stop dnscache & net start dnscache

Impact de cette solution de contournement : La résolution DNS n'effectuera pas de dévolution, ce qui peut potentiellement rendre des applications ou des configurations fondées sur ce comportement inutilisables. Les applications qui effectuent leur propre schéma de dévolution ne sont pas concernées par ce paramètre.

Top of sectionTop of section
Configurer une liste de recherche de suffixes de domaine

Pour créer une liste de recherche de suffixes de domaine, enregistrez ce qui suit dans un fichier .REG, puis exécutez regedit.exe /s <nomdefichier.REG> depuis une invite de commande sous privilèges élevés ou d'administration :

Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters "SearchList"=<votre liste de recherche de suffixes de domaine>

Remarque : Windows Server 2003 permet de distribuer la liste de recherche de suffixes de domaine à l'aide des Stratégies de groupe. Pour plus d'informations, reportez-vous à l'Article 294785 de la Base de connaissances Microsoft, section Liste de recherche de suffixes DNS.

Impact de cette solution de contournement : Lorsqu'une liste de recherche de suffixe de domaine est configurée sur les systèmes client, seule cette liste de suffixe est utilisée dans les requêtes DNS. Le suffixe DNS principal et tous les suffixes DNS spécifiques de la connexion sont ignorés. La résolution DNS n'effectuera pas de dévolution, ce qui peut potentiellement rendre des applications ou des configurations fondées sur ce comportement inutilisables.

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

Beau Butler pour avoir collaboré avec nous et avoir signalé la vulnérabilité dans WPAD (Web Proxy Auto-Discovery).

Ressources :

Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web suivant.

En cas de problème, contactez les Services de support produits de Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le Site Web d'aide et de support Microsoft.

Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web International Support.

Le site Web Espace Sécurité Technet fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Dédit de responsabilité :

Les informations contenues dans cet avis sont fournies "en l’état", sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions : 

3 décembre 2007 : Avis publié.

9 janvier 2008 : Avis mis à jour. Dans la solution de contournement « Configurer une liste de recherche de suffixes de domaine », la clé de Registre a été corrigée en « SearchList ».


Haut de pageHaut de page