Avis de sécurité Microsoft : Page d'accueil

Avis de sécurité Microsoft (977544)

Une vulnérabilité dans SMB pourrait permettre un déni de service

Paru le 13 novembre 2009

Version : 1.0

Informations générales

Synthèse

Microsoft étudie de nouveaux rapports publics d'une vulnérabilité de déni de service possible dans le protocole Server Message Block (SMB). Cette vulnérabilité ne peut pas être utilisée pour prendre le contrôle ou installer un logiciel malveillant sur le système d'un utilisateur. Cependant, Microsoft a connaissance de la publication d'un code d'exploitation détaillé relatif à cette vulnérabilité. À ce jour, Microsoft n'a pas connaissance d'attaques visant à utiliser ce code d'exploitation ni d'impact sur ses clients. Microsoft suit de près l'évolution de la situation afin de tenir ses clients informés et de leur fournir les conseils nécessaires.

Nous collaborons activement avec nos partenaires du Microsoft Active Protections Program (MAPP) afin de fournir les informations dont ils ont besoin pour offrir une protection plus efficace à leurs clients.

Dès la fin de cette enquête, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients. Ceci peut comprendre la mise à disposition d'un correctif de sécurité lors du cycle mensuel ou lors d'une publication exceptionnelle.

Microsoft regrette que cette annonce de vulnérabilité dans n'ait pas été révélée de façon responsable, ce qui constitue un risque pour les utilisateurs d'ordinateurs. De fait, nous continuons à encourager la divulgation responsable des vulnérabilités. Nous pensons que la pratique commune qui consiste à divulguer les vulnérabilités directement à un fournisseur va de l'intérêt de tous. En effet, elle contribue à assurer aux clients des mises à jour de sécurité complètes et de grande qualité qui les mettent à l'abri des attaques malveillantes sur Internet.

Top of section

Détails de l'Avis

Références sur le problème

Pour plus d'informations sur ce problème, consultez les références suivantes :

Références	Identification
Référence CVE	CVE-2009-3676

Top of section

Logiciels concernés et non concernés

Cet Avis porte sur les logiciels suivants.

Logiciels concernés
Windows 7 pour systèmes 32 bits
Windows 7 pour systèmes x64
Windows Server 2008 R2 pour systèmes x64*
Windows Server 2008 R2 pour systèmes Itanium
Logiciels non concernés
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 et Windows XP Service Pack 3
Windows XP Professionnel Édition x64 Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 Édition x64 Service Pack 2
Windows Server 2003 avec SP2 pour systèmes Itanium
Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2
Windows Vista Édition x64, Windows Vista Édition x64 Service Pack 1 et Windows Vista Édition x64 Service Pack 2
Windows Server 2008 pour systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium et Windows Server 2008 pour systèmes Itanium Service Pack 2

*Installation Server Core concernée. Cette Avis s'applique aux éditions en cours de support de Windows Server 2008 R2 comme indiqué, qu'elles aient été installées ou non à l'aide de l'option d'installation Server Core. Pour plus d'informations sur cette option d'installation, consultez l'article MSDN sur Server Core pour Windows Server 2008 R2 (en anglais). Sachez que l'option d'installation Server Core ne s'applique pas à certaines éditions de Windows Server 2008 R2 ; consultez la page Options d'installation Server Core.

Top of section

Forum aux questions

Quelle est la portée de cet Avis ?
Microsoft a connaissance d'une nouvelle vulnérabilité concernant le protocole Microsoft Server Message Block (SMB). Les systèmes d'exploitation concernés par cette vulnérabilité sont répertoriés dans la section « Logiciels concernés ».

Cette vulnérabilité nécessite-t-elle la publication par Microsoft d'une mise à jour de sécurité ?
Microsoft travaille à élaborer une mise à jour de sécurité pour Windows afin de corriger cette vulnérabilité. Microsoft publiera la mise à jour de sécurité lorsqu'elle répondra aux exigences de qualité nécessaires à sa distribution.

Cet Avis est-il lié à MS09-050, publié le 13 octobre 2009 ?
Non. Le Bulletin de sécurité Microsoft MS09-050, « Une vulnérabilité dans SMBv2 pourrait permettre l'exécution de code à distance », corrige une vulnérabilité d'exécution de code à distance dans le service serveur SMBv2. Cet Avis détaille un déni de service dans le client SMB. Sachez que cette vulnérabilité de déni de service ne permet pas à un attaquant d'exécuter du code ni d'élever ses privilèges, mais peut amener le système affecté à ne plus fonctionner tant qu'il n'est pas redémarré manuellement.

Quelles sont les versions de SMB concernées par cet Avis ?
Le problème abordé dans cet Avis affecte à la fois SMBv1 et SMBv2.

Qu'est ce que le protocole Microsoft Server Message Block (SMB) ?
Le protocole Microsoft Server Message Block (SMB) est un protocole de partage de fichiers en réseau de Microsoft utilisé dans Microsoft Windows. Pour plus d'informations sur SMB, consultez la Présentation des protocoles Microsoft SMB et CIFS (en anglais).

Qu'est-ce que Server Message Block Version 2 (SMBv2) ?
Server Message Block (SMB) est un protocole de partage de fichiers utilisé par défaut sur les ordinateurs exécutant Windows. SMB Version 2.0 (SMBv2) est une mise à jour de ce protocole prise en charge uniquement par les ordinateurs exécutant Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. SMBv2 ne peut être utilisé que si le client et le serveur le prennent tous les deux en charge. Si le client ou le serveur ne peut pas prendre en charge SMBv2, le protocole SMB 1.0 sera utilisé à sa place. La version du protocole SMB utilisée lors des opérations de fichiers est décidée lors de la phase de négociation. Pendant la phase de négociation, le client Windows informe le serveur qu'il peut prendre en charge le protocole SMBv2. Si le serveur comprend SMBv2, alors SMBv2 est choisi pour la communication. Si ce n'est pas le cas, le client et le serveur utilisent SMB 1.0 et continuent à fonctionner normalement. Pour plus d'informations sur SMBv2, consultez l'article MSDN sur les spécifications du protocole Server Message Block (SMB) Version 2 (en anglais).

Quelle est la différence entre SMBv1 et SMBv2 ?
Ces deux protocoles sont utilisés par les clients pour demander des services de fichiers et d'impression à partir d'un système serveur sur le réseau. Il s'agit de deux protocoles avec état dans lesquels les clients établissent une connexion à un serveur, établissent un contexte authentifié sur cette connexion, puis émettent une série de requêtes afin d'accéder aux fichiers, aux imprimantes et aux canaux nommés pour une communication entre processus. Le protocole SMBv2 est une révision majeure du protocole SMB existant. Même si de nombreux concepts sous-jacents sont identiques, les formats des paquets sont complètement différents. En plus de fournir toutes les fonctionnalités de SMBv1, le protocole SMBv2 fournit plusieurs améliorations :

•	Il permet de rétablir un fichier ouvert après la déconnexion temporaire d'une connexion client.
•	Il permet au serveur d'équilibrer le nombre d'opérations simultanées qu'un client peut avoir en cours à tout moment.
•	Il permet une montée en charge sur le nombre de partages, d'utilisateurs et de fichiers ouverts simultanément.
•	Il prend en charge les liens symboliques.
•	Il utilise un algorithme plus performant pour valider l'intégrité des requêtes et des réponses.

D'où vient cette menace ?
Cette vulnérabilité est due à une validation insuffisante de tous les champs par le protocole Microsoft Server Message Block (SMB) lors du traitement de paquets SMB spécialement conçus.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système d'un utilisateur de répondre tant qu'il n'est pas redémarré manuellement.

Cette vulnérabilité peut-elle être exploitée en utilisant Internet Explorer ?
Non. Cependant, ce problème pourrait être exploité via des transactions Web, quel que soit le type de navigateur. Dans le cas d'une attaque Web, un attaquant devrait héberger une page Web contenant un URI spécialement conçu. Un utilisateur ayant parcouru ce site Web forcerait une connexion SMB à un serveur SMB contrôlé par l'attaquant, qui renverrait ensuite une réponse malveillante à l'utilisateur. Cette réponse empêcherait le système d'un utilisateur de répondre tant qu'il n'aurait pas été redémarré manuellement. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.

Top of section

Facteurs atténuants

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de ce problème. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

•

Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés. Dans ce cas, les ports SMB devraient être bloqués par rapport à Internet.

Top of section

Solutions de contournement

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas le problème sous-jacent mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

•

Bloquer les ports TCP 139 et 445 au niveau du pare-feu

Ces ports servent à établir une connexion au composant affecté. En bloquant les ports TCP 139 et 445 au niveau du pare-feu, vous protégerez les systèmes situés derrière ce pare-feu des tentatives d'exploitation de cette vulnérabilité. Microsoft vous recommande de bloquer toutes les communications SMB vers et en provenance d'Internet, afin de renforcer la protection contre des attaques. Pour plus d'informations sur les ports, consultez Affectations de port TCP et UDP.

Impact de cette solution de contournement : Plusieurs services Windows utilisent ces ports. Bloquer ces ports peut entraîner un dysfonctionnement de certaines applications ou services. Certaines applications pouvant être affectées sont répertoriées ci-dessous :

•	Applications qui utilisent SMB (CIFS)
•	Applications utilisant des mailslots ou des canaux nommés (named pipes) (RPC sur SMB)
•	Serveur (Partage de fichier et d'impression)
•	Stratégie de groupe
•	Ouverture de session réseau
•	Système de fichiers distribués (DFS)
•	Gestion de licences Terminal Server
•	Spouleur d'impression
•	Explorateur d'ordinateur
•	Localisateur d'appels de procédure distante (RPC)
•	Service de télécopie
•	Service d'indexation
•	Journaux et alertes de performances
•	Systems Management Server
•	Service d'enregistrement de licence

Comment annuler la solution de contournement. Autorisez les ports TCP 139 et 445 au niveau du pare-feu. Pour plus d'informations sur les ports, consultez Affectations de port TCP et UDP.

Top of section

Actions supplémentaires suggérées

•

Protégez votre PC

Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour en savoir plus à ce sujet, consultez le site Sécurité à la maison.

Pour plus d'informations sur la manière d'utiliser Internet en toute sécurité, rendez-vous sur le site Web Microsoft Sécurité.

•

Maintenez Windows à jour

Si vous utilisez Windows, vous devriez installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum votre ordinateur. Pour ce faire, rendez-vous sur Windows Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé la fonction Mises à jour automatiques, les mises à jour vous seront fournies dès leur publication ; toutefois, il vous appartiendra de veiller à les installer.

Top of section

Autres informations

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners.

Top of section

Commentaires

•	Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).

Top of section

Support technique

•	En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web Aide et de support Microsoft.
•	Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web Support international.
•	TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Top of section

Dédit de responsabilité

Les informations contenues dans cet avis sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Top of section

Révisions

•	V1.0 (13 novembre 2009) : Avis publié.

Top of section

Haut de page