Bulletin de sécurité Microsoft MS08-067 - Une vulnérabilité du service Serveur pourrait permettre l'exécution de code à distance
Mise à jour de l'avis AV08-080
Date : 29 octobre 2008
L'avis AV08-080 a été publié le 23 octobre pour attirer l'attention sur une vulnérabilité sérieuse du service Server de Microsoft, qui touche toutes les versions supportées de Windows et qui pourrait permettre l'exécution de code à distance avec des droits au niveau système.
La présente mise à jour fournit des renseignements additionnels sur la réduction du risque et elle souligne que l'exploitation de cette vulnérabilité est signalée par Microsoft et la collectivité intéressée à la sécurité d'Internet. Les rapports indiquent que cette faille est exploitée au moyen du virus Trojan.Gimmiv.A. Microsoft et certains fournisseurs d'antivirus ont élaboré des signatures de détection pour l'exploit et le cheval de Troie connexe. Un module d'exploitation a aussi été intégré au cadre Metasploit.
Le CCRIC recommande que les administrateurs accordent une priorité élevée aux essais et à l'installation du correctif de sécurité MS08-067.
De plus, les administrateurs de systèmes devraient s'informer au sujet de la disponibilité des signatures de détection de l'exploit et du cheval de Troie connexe auprès de leur fournisseur d'antivirus. Des signatures IDS SNORT sont disponibles publiquement et elles pourraient être adaptées à vos dispositifs de détection d'intrusion.
De plus, les administrateurs de systèmes devraient s'informer au sujet de la disponibilité des signatures de détection de l'exploit et du cheval de Troie connexe auprès de leur fournisseur d'antivirus. Des signatures IDS SNORT sont disponibles publiquement et elles pourraient être adaptées à vos dispositifs de détection d'intrusion.
Microsoft:
Fournisseurs d'antivirus :
Signatures IDS :
Autres références :
Prière de consulter l'avis original du CCRIC pour plus de renseignements, ainsi que l'URL du bulletin de sécurité du fournisseur.
Numéro : AV08-080
Date : 23 octobre 2008
Objet
L’objectif du présent avis est d’attirer votre attention sur un correctif critique publié par Microsoft afin de corriger une vulnérabilité du service Serveur qui pourrait permettre l'exécution de code à distance.
Évaluation
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans être authentifié. Il serait possible d'utiliser cette vulnérabilité dans l’élaboration d’un exploit faisant appel à un ver. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les ressources réseau contre les attaques lancées depuis l’extérieur de l’entreprise.
Répercussions de la vulnérabilité : Exécution de code à distance Indice de gravité : Critique Indice d’exploitabilité maximal – L’existence de code d’exploitation est probable Référence CVE : CVE-2008-4250
Note : Les configurations de pare-feu par défaut ne sont pas suffisantes pour réduire cette menace, car il a été déterminé que le point d’extrémité de la RPC peut être rejoint, et donc être exploité, si le pare-feu est invalidé ou si le pare-feu est validé pendant que le partage de fichiers et/ou d’imprimante est aussi validé.
Mesure suggérée
Le CCRIC recommande aux administrateurs de tester et d'installer toutes les mises à jour immédiatement.
Références :
http://www.microsoft.com/france/technet/security/bulletin/ms08-067.mspx
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca