Bulletin de sécurité Microsoft MS06-019

Il existe dans Microsoft Exchange Server une vulnérabilité d'exécution de code à distance qui pourrait permettre à un attaquant qui parviendrait à l'exploiter de prendre le contrôle intégral du système affecté.

Un attaquant qui aurait spécialement créé un message intégrant certaines propriétés vCAL ou iCAL, pourrait exploiter cette vulnérabilité et entraîner l'exécution de code à distance lors du traitement de ce message par un serveur Exchange.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté.

•	Il n'existe aucun facteur atténuant connu.

Top of section

Microsoft a testé les solutions ci-dessous. Ces solutions ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante.

•

Exigez une authentification pour les connexions à un serveur exécutant Microsoft Exchange Server pour tous les protocoles client et protocoles de transport de messages. En exigeant une authentification pour toutes les connexions à l'ordinateur Exchange Server, vous contribuerez à améliorer la protection contre les attaques anonymes. Ceci ne vous protège pas contre une attaque provenant d'un utilisateur malveillant qui parvient à s'authentifier. Impact de cette solution : La communication anonyme provenant des clients par le biais d’IMAP, POP3, HTTP, LDAP, SMTP et NNTP ne sera plus possible. La communication anonyme serveur à serveur à travers RPC, X.400, les passerelles étrangères et les protocoles de connexion tiers ne seront également plus possibles. Dans les configurations par défaut d'Exchange Server, l'accès authentifié est requis pour tous les protocoles, à l'exception de SMTP. Si toutes les parties du message de type MIME text/calendar et le fichier meeting.ics sont bloqués, les connexions anonymes SMTP peuvent être acceptées.

•

Bloquez iCAL/vCAL sur Microsoft Exchange Server pour améliorer la protection contre les tentatives d'exploitation de cette vulnérabilité à travers la messagerie SMTP. Les systèmes peuvent être configurés de manière à empêcher la réception de certains types de fichiers sous forme de pièces jointes. Les demandes de réunion, généralement utilisées dans Outlook, comportent une pièce jointe contenant les informations relatives à la réunion. Cette pièce jointe est généralement appelée meeting.ics. En la bloquant et en bloquant le type MIME text/calendar, vous aidez à protéger les serveurs Exchange et autres programmes contre cette vulnérabilité si vous ne pouvez pas installer la mise à jour de sécurité disponible. Pour aider à protéger un ordinateur Exchange Server contre les attaques via SMTP, bloquez les fichiers .ics et tout contenu de type MIME text/calendar avant qu'ils n'atteignent l'ordinateur Exchange Server. Remarque : Exchange prend en charge d'autres protocoles de messagerie, tels que X.400, qui ne sont pas protégés par ces solutions de contournement. Nous conseillons aux administrateurs d'exiger l'authentification de tous les autres protocoles client et de transport de messages afin de renforcer la protection contre les attaques issues de ces protocoles. Remarque : Filtrer les pièces jointes portant le nom de fichier meeting.ics ne suffira peut-être pas à protéger votre système. Une pièce jointe spécialement conçue pourrait avoir un autre nom et être traitée par l'ordinateur Exchange Server. Pour renforcer la protection contre les messages électroniques malveillants, bloquez tout contenu de type MIME text/calendar. Il existe plusieurs manières de bloquer le fichier meeting.ics et autre contenu de type calendar. En voici quelques-unes : • Vous pouvez utiliser le filtre de messages SMTP d'ISA Server 2000 pour bloquer toutes les pièces jointes ou uniquement le fichier meeting.ics. Si vous avez un serveur ISA Server 2000, la meilleure méthode de protection est celle qui consiste à bloquer toutes les pièces jointes, car ce serveur ne prend pas en charge le blocage de contenu de type MIME. Pour plus d’informations, consultez l’article 315132 de la Base de connaissances Microsoft. • Vous pouvez utiliser le filtre SMTP d'ISA Server 2000 pour bloquer toutes les pièces jointes ou uniquement le fichier meeting.ics. Si vous avez un serveur ISA Server 2000, la meilleure méthode de protection est celle qui consiste à bloquer toutes les pièces jointes, car ce serveur ne prend pas en charge le blocage de contenu de type MIME. Pour plus d’informations, consultez l’article 320703 de la Base de connaissances Microsoft. • Vous pouvez utiliser le filtre de messages SMTP d'ISA Server 2004 pour bloquer toutes les pièces jointes ou uniquement le fichier meeting.ics. Si vous avez un serveur ISA Server 2004, la meilleure méthode de protection est celle qui consiste à bloquer toutes les pièces jointes, car ce serveur ne prend pas en charge le blocage de contenu de type MIME. Pour plus d’informations, consultez l’article 888709 de la Base de connaissances Microsoft. • Vous pouvez utiliser des filtres de courrier de tiers pour bloquer tout contenu de type MIME text/calendar avant qu'il n'atteigne un ordinateur Exchange Server ou une application vulnérable. Impact de cette solution : Si les pièces jointes de calendrier sont bloquées, les demandes de réunion ne seront pas réceptionnées correctement. Dans certains cas, les utilisateurs peuvent recevoir des messages vides au lieu de la demande de réunion d'origine. Dans d'autres cas, les utilisateurs risquent de ne pas recevoir les demandes de réunion. N'appliquez cette solution que si vous ne pouvez pas installer la mise à jour de sécurité disponible ou si une mise à jour n'est pas disponible pour votre configuration.

Top of section

Quelle est la portée de cette vulnérabilité ?

Il s’agit d’une vulnérabilité d’exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Quelle est la cause de cette vulnérabilité ?
Les fonctionnalités EXCDO et CDOEX fournies avec Exchange Server ne traitent pas convenablement certaines propriétés iCAL et vCAL présentes dans les messages électroniques.

Que sont EXCDO et CDOEX ?

CDOEX (Collaboration Data Objects for Exchange) et EXCDO (Exchange Collaboration Data Objects) sont des interfaces permettant le traitement de certains types d'informations dans la banque d'informations Exchange.

Qu'est-ce que vCAL ?
Le calendrier virtuel (vCAL) est un type de contenu MIME utilisé par Microsoft Exchange Server et les clients de messagerie lors de l'envoi et de l'échange d'informations liées aux calendriers et à la planification.

Qu'est-ce qu'iCAL ?

Le calendrier Internet (iCAL) est un type de contenu MIME utilisé par Microsoft Exchange Server et les clients de messagerie lors de l'envoi et de l'échange d'informations liées aux calendriers et à la planification.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Qui pourrait exploiter cette vulnérabilité ?
Tout utilisateur anonyme qui serait en mesure d'envoyer un message contenant des propriétés vCAL ou iCAL spécialement conçues à un serveur Exchange pourrait tenter d’exploiter cette vulnérabilité.

Quels sont les systèmes qui encourent le plus de risques face à cette vulnérabilité ?
Les serveurs Microsoft Exchange sont exposés.

Cette vulnérabilité peut-elle être exploitée sur Internet ?
Oui. Un attaquant pourrait tenter d’exploiter cette vulnérabilité sur Internet.

Que fait cette mise à jour ?
Cette mise à jour supprime la vulnérabilité en modifiant la façon dont Exchange Server traite les messages contenant des propriétés iCAL ou vCAL.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information faisant état d'une divulgation publique de cette vulnérabilité.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et ne connaissait ni exemple ni preuve de la publication d’un tel code.

Top of section

Conditions requises
Cette mise à jour de sécurité requiert une version finale d'Exchange Server 2003 Service Pack 2.

Intégration aux futurs Service Packs :
Cette mise à jour sera incluse dans un futur Service Pack ou ensemble de mises à jour.

Informations concernant l’installation

Cette mise à jour de sécurité prend en charge les options d’installation suivantes.

Remarque : Vous pouvez associer ces options dans une seule ligne de commande. Pour des raisons de compatibilité ascendante, la mise à jour de sécurité prend en charge la majorité des options des versions précédentes du programme d’installation. Pour plus d’informations sur les options d’installation prises en charge, consultez l'article 262841 de la Base de connaissances Microsoft. Pour plus d'informations sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet .

Informations sur le déploiement

Pour installer cette mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à une invite de commande :

Exchange2003-KB916803-x86-ENU /quiet

Remarque : L'utilisation de l'option /quiet supprimera tous les messages, y compris les messages d'échec. Les administrateurs doivent utiliser l'une des méthodes prises en charge pour vérifier le bon déroulement de l'installation lorsqu'ils utilisent l'option /quiet.

Nécessité de redémarrer

Cette mise à jour ne nécessite pas le redémarrage de l’ordinateur. Le programme d'installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour quelque raison que ce soit ou si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessitera un redémarrage. Dans ce cas, un message s'affiche pour vous demander de redémarrer. Pour éviter la nécessité d'un redémarrage, arrêtez tous les services affectés et fermez toutes les applications susceptibles d'utiliser les fichiers affectés avant d'installer la mise à jour de sécurité. Pour plus d'informations sur les raisons pouvant justifier un redémarrage, consultez l'article 887012 de la Base de connaissances Microsoft.

Informations sur la désinstallation

Pour supprimer cette mise à jour, utilisez Ajout/Suppression de programmes dans le Panneau de configuration.

Les administrateurs système peuvent également recourir à l’utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstallKB916803$\Spuninst.

Informations sur les fichiers

La version anglaise de cette mise à jour de sécurité possède les attributs de fichiers répertoriés dans le tableau ci-dessous. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties en heure locale. Pour connaître le décalage entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire de l’outil Date et heure du Panneau de configuration.

Exchange Server 2003 Service Pack 2

Vérification de l'application de la mise à jour

Conditions requises
Cette mise à jour de sécurité requiert une version finale d'Exchange Server 2003 Service Pack 1.

Intégration aux futurs Service Packs :
La mise à jour de cette version sera incluse dans un futur Service Pack ou ensemble de mises à jour.

Informations concernant l’installation

Cette mise à jour de sécurité prend en charge les options d’installation suivantes.

Remarque : Vous pouvez associer ces options dans une seule ligne de commande. Pour des raisons de compatibilité ascendante, la mise à jour de sécurité prend en charge la majorité des options des versions précédentes du programme d’installation. Pour plus d’informations sur les options d’installation prises en charge, consultez l'article 262841 de la Base de connaissances Microsoft. Pour plus d'informations sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet .

Informations sur le déploiement

Pour installer cette mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à une invite de commande :

Exchange2003-KB916803-x86-ENU /quiet

Remarque : L'utilisation de l'option /quiet supprimera tous les messages, y compris les messages d'échec. Les administrateurs doivent utiliser l'une des méthodes prises en charge pour vérifier le bon déroulement de l'installation lorsqu'ils utilisent l'option /quiet.

Nécessité de redémarrer

Cette mise à jour ne nécessite pas le redémarrage de l’ordinateur. Le programme d'installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour quelque raison que ce soit ou si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessitera un redémarrage. Dans ce cas, un message s'affiche pour vous demander de redémarrer. Pour éviter la nécessité d'un redémarrage, arrêtez tous les services affectés et fermez toutes les applications susceptibles d'utiliser les fichiers affectés avant d'installer la mise à jour de sécurité. Pour plus d'informations sur les raisons pouvant justifier un redémarrage, consultez l'article 887012 de la Base de connaissances Microsoft.

Informations sur la désinstallation

Pour supprimer cette mise à jour, utilisez Ajout/Suppression de programmes dans le Panneau de configuration.

Les administrateurs système peuvent également recourir à l’utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstallKB916803$\Spuninst.

Informations sur les fichiers

La version anglaise de cette mise à jour de sécurité possède les attributs de fichiers répertoriés dans le tableau ci-dessous. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties en heure locale. Pour connaître le décalage entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire de l’outil Date et heure du Panneau de configuration.

Exchange Server 2003 Service Pack 1

Vérification de l'application de la mise à jour

Conditions requises
Cette mise à jour de sécurité nécessite que l'ensemble de mises à jour Exchange 2000 Post-Service Pack 3 d'août 2004 soit installé sur le système avant d'appliquer la mise à jour. 1.

Intégration aux futurs Service Packs :
La mise à jour de cette version sera incluse dans un futur Service Pack ou ensemble de mises à jour.

Informations concernant l’installation

Cette mise à jour de sécurité prend en charge les options d’installation suivantes.

Remarque : Vous pouvez associer ces options dans une seule ligne de commande. Pour des raisons de compatibilité ascendante, la mise à jour de sécurité prend en charge la majorité des options des versions précédentes du programme d’installation. Pour plus d’informations sur les options d’installation prises en charge, consultez l'article 262841 de la Base de connaissances Microsoft. Pour plus d'informations sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet .

Informations sur le déploiement

Pour installer cette mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à une invite de commande :

Exchange2000-KB916803-x86-ENU /quiet

Remarque : L'utilisation de l'option /quiet supprimera tous les messages, y compris les messages d'échec. Les administrateurs doivent utiliser l'une des méthodes prises en charge pour vérifier le bon déroulement de l'installation lorsqu'ils utilisent l'option /quiet.

Nécessité de redémarrer

Cette mise à jour ne nécessite pas le redémarrage de l’ordinateur. Le programme d'installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour quelque raison que ce soit ou si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessitera un redémarrage. Dans ce cas, un message s'affiche pour vous demander de redémarrer. Pour éviter la nécessité d'un redémarrage, arrêtez tous les services affectés et fermez toutes les applications susceptibles d'utiliser les fichiers affectés avant d'installer la mise à jour de sécurité. Pour plus d'informations sur les raisons pouvant justifier un redémarrage, consultez l'article 887012 de la Base de connaissances Microsoft.

Informations sur la désinstallation

Pour supprimer cette mise à jour, utilisez Ajout/Suppression de programmes dans le Panneau de configuration.

Les administrateurs système peuvent également recourir à l’utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstallKB916803$\Spuninst.

Informations sur les fichiers

La version anglaise de cette mise à jour de sécurité possède les attributs de fichiers répertoriés dans le tableau ci-dessous. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties en heure locale. Pour connaître le décalage entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire de l’outil Date et heure du Panneau de configuration.

Exchange Server 2000 Service Pack 3

Vérification de l'application de la mise à jour