Bulletin de sécurité Microsoft MS06-018

Il s'agit d'une vulnérabilité de déni de service. Ce problème ne permettrait pas à un attaquant d’exécuter du code ou d’élever ses privilèges, mais peut amener le système affecté à ne plus accepter les requêtes.

Si MSDTC cesse de répondre suite à une attaque, les services ne dépendant pas de ce composant continueront à fonctionner normalement. En général, cette attaque ne compromet pas la stabilité globale du système.

Pour les clients qui ont besoin du composant affecté, les meilleures pratiques en matière de pare-feu ainsi que les configurations standard par défaut des pare-feu contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.

Désactivez le service DTC (Distributed Transaction Coordinator)

En désactivant le service DTC (Distributed Transaction Coordinator), vous protégerez votre système contre les tentatives d'exploitation de cette vulnérabilité. Pour désactiver le service DTC (Distributed Transaction Coordinator), procédez comme suit :

Vous pouvez également désactiver le service Coordinateur de transactions distribuées en entrant la commande suivante à l'invite de commande :

sc stop MSDTC & sc config MSDTC start= disabled 

Impact de cette solution de contournement : Si vous désactivez le service DTC (Distributed Transaction Coordinator), vous ne pourrez plus utiliser les services et les applications qui en dépendent. Ceci peut inclure des applications comme SQL Server, BizTalk Server, Exchange Server ou Message Queuing. Ce service est également requis pour la plupart des configurations de clusters. Nous recommandons donc d'utiliser uniquement cette solution de contournement sur les systèmes où l'installation de la mise à jour de sécurité est impossible.

Utiliser les stratégies de groupe pour désactiver le Coordinateur de transactions distribuées sur les systèmes affectés qui ne nécessitent pas cette fonctionnalité.
Le service Coordinateur de transactions distribuées (DTC) pouvant constituer un vecteur d'attaque, désactivez-le à l'aide des paramètres de stratégie de groupe. Vous pouvez désactiver le démarrage de ce service en appliquant une Stratégie de groupe au niveau local ou au niveau site, domaine ou unité organisationnelle (OU) dans un domaine Windows 2000 ou Windows Server 2003. Pour plus d'informations concernant la désactivation de ce service en utilisant des scripts de démarrage, consultez l'Article 297789 de la Base de connaissances Microsoft.

Remarque : Vous pouvez aussi consulter le Guide de renforcement de la sécurité Windows Server 2000. Ce guide inclut des informations concernant la désactivation de services.

Pour plus d'informations sur la Stratégie de groupe, consultez le site Web suivant.

Impact de cette solution de contournement : Si vous désactivez le service DTC (Distributed Transaction Coordinator), vous ne pourrez plus utiliser les services et les applications qui en dépendent. Ceci peut inclure des applications comme SQL Server, BizTalk Server, Exchange Server ou Message Queuing. Ce service est également requis pour la plupart des configurations de clusters. Nous recommandons donc d'utiliser uniquement cette solution de contournement sur les systèmes où l'installation de la mise à jour de sécurité est impossible.

Désactiver l'accès DTC réseau

Si vous ne pouvez pas installer la mise à jour de sécurité et que vous ne pouvez pas désactiver le service DTC, il vous faudra peut-être désactiver l'accès DTC réseau. Cette option est disponible uniquement sur Windows XP et versions supérieures. Elle vous permet d'effectuer des transactions locales tout en vous protégeant des attaques réseau visant à exploiter cette vulnérabilité. Pour toute autre information sur la configuration de l'accès DTC réseau, consultez le site Web Microsoft suivant. Pour désactiver l'accès DTC réseau, procédez comme suit :

Avertissement : L'exécution de cette opération provoque le démarrage du service concerné s'il n'est pas déjà lancé. Dans l'onglet MSDTC, arrêtez le service MSDTC avant de fermer les boîtes de dialogue de configuration.

HKLM\Software\Microsoft\MSDTC\Security\NetworkDtcAccess 

Impact de cette solution de contournement : Si vous désactivez l'accès DTC réseau, une transaction distribuée pourrait échouer. Ceci pourrait avoir un impact sur d'autres applications comme SQL Server, BizTalk Server, Exchange Server ou Message Queuing. Nous recommandons donc d'utiliser uniquement cette solution de contournement sur les systèmes où l'installation de la mise à jour de sécurité est impossible.

Bloquez les éléments suivants au niveau de votre pare-feu :

Ces ports sont utilisés pour établir une connexion avec MSDTC. En les bloquant au niveau du pare-feu, vous protégerez les systèmes situés derrière ce pare-feu des tentatives d’exploitation de cette vulnérabilité. Veillez aussi à bloquer tout autre port RPC spécialement configuré sur le système distant. Nous vous recommandons de bloquer toute communication entrante non sollicitée en provenance d'Internet, afin de renforcer la protection contre des attaques qui pourraient utiliser les autres ports. Bien que le protocole RPC puisse utiliser les ports UDP 135, 137, 138, 445 ainsi que les ports TCP 135, 139, 445 et 593, le service MSDTC n'est pas vulnérable sur ces ports.

Remarque : D'autres protocoles, tels que les protocoles SPX (Sequenced Packet Exchange) et NetBEUI, peuvent être utilisés pour communiquer avec le service MSDTC. Si vous utilisez ces protocoles, nous vous recommandons d'en bloquer les ports. Pour plus d’informations sur IIPX et SPX, consultez le site Web Microsoft suivant.

Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité, utilisez un pare-feu personnel, tel que lepare-feu de connexion Internet, fourni avec Windows XP et Windows Server 2003.

Par défaut, le pare-feu de connexion Internet de Windows XP et Windows Server 2003 protège votre connexion Internet en bloquant tout trafic entrant non sollicité. Nous vous recommandons de bloquer toute communication entrante non sollicitée en provenance d'Internet.

Pour activer le pare-feu de connexion Internet à l’aide de l’Assistant Configuration du réseau, procédez comme suit :

Pour configurer manuellement le pare-feu de connexion Internet, procédez comme suit :

Remarque : Si vous souhaitez autoriser certains programmes et services à communiquer via le pare-feu, cliquez sur l'option Paramètres de l'onglet Avancé, puis sélectionnez les programmes, protocoles et services requis.

Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, activez le filtrage TCP/IP avancé sur les systèmes qui prennent en charge cette fonctionnalité.

Vous pouvez activer le filtrage TCP/IP avancé pour bloquer tout trafic entrant non sollicité. Pour toute autre information sur la configuration du filtrage TCP/IP, consultez l’Article 309798 de la Base de connaissances Microsoft.

Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, bloquez les ports affectés en utilisant IPSec sur les systèmes affectés.

Utilisez IPSec (Internet Protocol Security) pour protéger les communications réseau. Vous trouverez des informations détaillées sur IPSec et l’application des filtres dans les articles 313190 et 813878 de la Base de connaissances Microsoft. RPC utilise une large plage de ports, ce qui peut le rendre difficile à protéger en utilisant IPsec. L'Article 908472 de la Base de connaissances Microsoft explique comment limiter la communication RPC à quelques ports et comment sécuriser ces ports à l'aide d'IPsec.

Réduit les coûts informatiques de l'entreprise.
DTC offre un système de transactions distribuées sophistiqué et économique pour les utilisateurs de serveurs et d'ordinateurs d'entrée de gamme en réseau.

Simplifie le développement d'applications.
Les transactions DTC simplifient les opérations de préservation de la cohérence, malgré les erreurs qui peuvent survenir lors de la mise à jour des données des applications.

Fournit un modèle de transaction cohérent.
DTC prend en charge une grande variété de gestionnaires de ressources, notamment des bases de données relationnelles, des bases de données orientées objets, des systèmes de fichiers, des systèmes de stockage de documents et des files d'attente de messages.

Permet le développement de logiciels grâce à des composants distribués.
Le service DTC offre une interface de programmation simple et orientée objets pour l'initialisation et le contrôle des transactions.

Il s'agit d'une vulnérabilité de déni de service. Ce problème ne permettrait pas à un attaquant d’exécuter du code ou d’élever ses privilèges, mais peut amener le service affecté à ne plus accepter les requêtes.

Si MSDTC cesse de répondre suite à une attaque, les services ne dépendant pas de ce composant continueront à fonctionner normalement.

Pour les clients qui ont besoin du composant affecté, les meilleures pratiques en matière de pare-feu ainsi que les configurations standard par défaut des pare-feu contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.

Désactivez le service DTC (Distributed Transaction Coordinator)

En désactivant le service DTC (Distributed Transaction Coordinator), vous protégerez votre système contre les tentatives d'exploitation de cette vulnérabilité. Pour désactiver le service DTC (Distributed Transaction Coordinator), procédez comme suit :

Vous pouvez également désactiver le service Coordinateur de transactions distribuées en entrant la commande suivante à l'invite de commande :

sc stop MSDTC & sc config MSDTC start= disabled 

Impact de cette solution de contournement : Si vous désactivez le service DTC (Distributed Transaction Coordinator), vous ne pourrez plus utiliser les services et les applications qui en dépendent. Ceci peut inclure des applications comme SQL Server, BizTalk Server, Exchange Server ou Message Queuing. Ce service est également requis pour la plupart des configurations de clusters. Nous recommandons donc d'utiliser uniquement cette solution de contournement sur les systèmes où l'installation de la mise à jour de sécurité est impossible.

Utiliser les stratégies de groupe pour désactiver le Coordinateur de transactions distribuées sur les systèmes affectés qui ne nécessitent pas cette fonctionnalité.
Le service Coordinateur de transactions distribuées (DTC) pouvant constituer un vecteur d'attaque, désactivez-le à l'aide des paramètres de stratégie de groupe. Vous pouvez désactiver le démarrage de ce service en appliquant une Stratégie de groupe au niveau local ou au niveau site, domaine ou unité organisationnelle (OU) dans un domaine Windows 2000 ou Windows Server 2003. Pour plus d'informations concernant la désactivation de ce service en utilisant des scripts de démarrage, consultez l'Article 297789 de la Base de connaissances Microsoft.

Remarque : Vous pouvez aussi consulter le Guide de renforcement de la sécurité Windows Server 2000. Ce guide inclut des informations concernant la désactivation de services.

Pour plus d'informations sur la Stratégie de groupe, consultez le site Web suivant.

Impact de cette solution de contournement : Si vous désactivez le service DTC (Distributed Transaction Coordinator), vous ne pourrez plus utiliser les services et les applications qui en dépendent. Ceci peut inclure des applications comme SQL Server, BizTalk Server, Exchange Server ou Message Queuing. Ce service est également requis pour la plupart des configurations de clusters. Nous recommandons donc d'utiliser uniquement cette solution de contournement sur les systèmes où l'installation de la mise à jour de sécurité est impossible.

Désactiver l'accès DTC réseau

Si vous ne pouvez pas installer la mise à jour de sécurité et que vous ne pouvez pas désactiver le service DTC, il vous faudra peut-être désactiver l'accès DTC réseau. Cette option est disponible uniquement sur Windows XP et versions supérieures. Elle vous permet d'effectuer des transactions locales tout en vous protégeant des attaques réseau visant à exploiter cette vulnérabilité. Pour toute autre information sur la configuration de l'accès DTC réseau, consultez le site Web Microsoft suivant. Pour désactiver l'accès DTC réseau, procédez comme suit :

Avertissement : L'exécution de cette opération provoque le démarrage du service concerné s'il n'est pas déjà lancé. Dans l'onglet MSDTC, arrêtez le service MSDTC avant de fermer les boîtes de dialogue de configuration.

HKLM\Software\Microsoft\MSDTC\Security\NetworkDtcAccess 

Impact de cette solution de contournement : Si vous désactivez l'accès DTC réseau, une transaction distribuée pourrait échouer. Ceci pourrait avoir un impact sur d'autres applications comme SQL Server, BizTalk Server, Exchange Server ou Message Queuing. Nous recommandons donc d'utiliser uniquement cette solution de contournement sur les systèmes où l'installation de la mise à jour de sécurité est impossible.

Bloquez les éléments suivants au niveau de votre pare-feu :

Ces ports sont utilisés pour établir une connexion avec MSDTC. En les bloquant au niveau du pare-feu, vous protégerez les systèmes situés derrière ce pare-feu des tentatives d’exploitation de cette vulnérabilité. Veillez aussi à bloquer tout autre port RPC spécialement configuré sur le système distant. Nous vous recommandons de bloquer toute communication entrante non sollicitée en provenance d'Internet, afin de renforcer la protection contre des attaques qui pourraient utiliser les autres ports. Bien que le protocole RPC puisse utiliser les ports UDP 135, 137, 138, 445 ainsi que les ports TCP 135, 139, 445 et 593, le service MSDTC n'est pas vulnérable sur ces ports.

Remarque : D'autres protocoles, tels que les protocoles SPX (Sequenced Packet Exchange) et NetBEUI, peuvent être utilisés pour communiquer avec le service MSDTC. Si vous utilisez ces protocoles, nous vous recommandons d'en bloquer les ports. Pour plus d’informations sur IIPX et SPX, consultez le site Web Microsoft suivant.

Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité, utilisez un pare-feu personnel, tel que lepare-feu de connexion Internet, fourni avec Windows XP et Windows Server 2003.

Par défaut, le pare-feu de connexion Internet de Windows XP et Windows Server 2003 protège votre connexion Internet en bloquant tout trafic entrant non sollicité. Nous vous recommandons de bloquer toute communication entrante non sollicitée en provenance d'Internet.

Pour activer le pare-feu de connexion Internet à l’aide de l’Assistant Configuration du réseau, procédez comme suit :

Pour configurer manuellement le pare-feu de connexion Internet, procédez comme suit :

Remarque : Si vous souhaitez autoriser certains programmes et services à communiquer via le pare-feu, cliquez sur l'option Paramètres de l'onglet Avancé, puis sélectionnez les programmes, protocoles et services requis.

Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, activez le filtrage TCP/IP avancé sur les systèmes qui prennent en charge cette fonctionnalité.

Vous pouvez activer le filtrage TCP/IP avancé pour bloquer tout trafic entrant non sollicité. Pour toute autre information sur la configuration du filtrage TCP/IP, consultez l’Article 309798 de la Base de connaissances Microsoft.

Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, bloquez les ports affectés en utilisant IPSec sur les systèmes affectés.

Utilisez IPSec (Internet Protocol Security) pour protéger les communications réseau. Vous trouverez des informations détaillées sur IPSec et l’application des filtres dans les articles 313190 et 813878 de la Base de connaissances Microsoft. RPC utilise une large plage de ports, ce qui peut le rendre difficile à protéger en utilisant IPsec. L'Article 908472 de la Base de connaissances Microsoft explique comment limiter la communication RPC à quelques ports et comment sécuriser ces ports à l'aide d'IPsec.

Réduit les coûts informatiques de l'entreprise.
DTC offre un système de transactions distribuées sophistiqué et économique pour les utilisateurs de serveurs et d'ordinateurs d'entrée de gamme en réseau.

Simplifie le développement d'applications.
Les transactions DTC simplifient les opérations de préservation de la cohérence, malgré les erreurs qui peuvent survenir lors de la mise à jour des données des applications.

Fournit un modèle de transaction cohérent.
DTC prend en charge une grande variété de gestionnaires de ressources, notamment des bases de données relationnelles, des bases de données orientées objets, des systèmes de fichiers, des systèmes de stockage de documents et des files d'attente de messages.

Permet le développement de logiciels grâce à des composants distribués.
Le service DTC offre une interface de programmation simple et orientée objets pour l'initialisation et le contrôle des transactions.