Mises à jour de sécurité Microsoft

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 19 déc. 2019 00:01

Une vulnérabilité permettant à un attaquant de porter atteinte à la confidentialité des données a été corrigées le 17/12/2019 dans SharePoint :

https://portal.msrc.microsoft.com/fr-FR ... -2019-1491

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 15 janv. 2020 00:45

Le patch tuesday de Microsoft est arrivé ce mardi 14/01/2020 et contient des mises à jour de sécurité pour les produits suivants :


Microsoft Windows
Internet Explorer
Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
ASP.NET Core
.NET Core
.NET Framework
OneDrive pour Android
Microsoft Dynamics

https://portal.msrc.microsoft.com/fr-fr ... l/2020-Jan

50 vulnérabilités sont corrigées dont 8 critiques.

Systèmes clients :

Windows 7 : 18 vulnérabilités : 1 classée critique et 17 classées importantes
CVE-2020-0611 | Vulnérabilité de l'exécution du code du client de bureau à distance
Windows 8.1 : 23 vulnérabilités : 1 classée critique et 22 classées importantes
identique à Windows 7
Windows 10 version 1803 : 29 vulnérabilités : 1 critique et 28 importantes
identique à Windows 7
Windows 10 version 1809 : 29 vulnérabilités : 1 critique et 28 importantes
identique à Windows 7
Windows 10 version 1903 : 29 vulnérabilités : 1 critique et 28 importantes
même que pour Windows 7
Windows 10 version 1909 : identique à Windows 10 version 1903

Systèmes serveurs :

Windows Server 2008 R2 : 19 vulnérabilités : 1 critique et 12 importantes.
CVE-2020-0611 | Vulnérabilité de l'exécution de code à distance du client de bureau à distance
Windows Server 2012 R2 : 26 vulnérabilités : 3 critiques et 23 importantes.
CVE-2020-0609 | Vulnérabilité de l'exécution de code à distance de la passerelle de bureau à distance de Windows (passerelle RD)
CVE-2020-0610 | Passerelle pour bureau à distance Windows (Passerelle RD) Vulnérabilité de l'exécution de code à distance
CVE-2020-0611 | Vulnérabilité de l'exécution du code du client de bureau à distance
Windows Server 2016 : 31 vulnérabilités : 3 critiques et 28 importantes.
identique à Windows Server 2012 R2
Windows Server 2019 : 33 vulnérabilités : 3 critiques et 30 importantes
même que Windows Server 2012 R2

Navigateurs :

Internet Explorer 11 : 1 vulnérabilité : 1 critique
CVE-2020-0640 | Vulnérabilité à la corruption de la mémoire d'Internet Explorer
Microsoft Edge : aucun
Microsoft Edge on Chromium : aucun

Les derniers patchs pour Windows 7 / Server 2008 :cry: : https://www.catalog.update.microsoft.co ... =KB4534314

À noter dans ce patch Tuesday :

Une vulnérabilité affecte la bibliothèque cryptographique crypt32.dll de Microsoft Windows 10, Windows Server 2016 et Windows Server 2019 :

Un attaquant pourrait exploiter la vulnérabilité en signant un exécutable malveillant à l’aide d’un certificat de signature de code falsifié. Le fichier semblerait alors provenir d’une source légitime et approuvée. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur approuvé.

Une exploitation réussie pourrait également permettre à l’attaquant de réaliser des attaques de l’intercepteur et de déchiffrer des informations confidentielles sur les connexions utilisateur vers le logiciel concerné.

https://portal.msrc.microsoft.com/fr-fr ... -2020-0601
https://msrc-blog.microsoft.com/2020/01 ... 2020-0601/
Alerte ANSSI associée : https://www.cert.ssi.gouv.fr/alerte/CER ... 0-ALE-004/


Deux vulnérabilités permettant de réaliser une exécution de code arbitraire à distance sur la passerelle d'accès distant Microsoft Remote Desktop Gateway (RD Gateway) affectent les systèmes Windows Server 2012, 2012 R2, 2016 et 2019 :

https://portal.msrc.microsoft.com/fr-fr ... -2020-0609
https://portal.msrc.microsoft.com/fr-fr ... -2020-0610
Alerte ANSSI associée : https://www.cert.ssi.gouv.fr/alerte/CER ... 0-ALE-005/

Au delà de l'application des correctifs de sécurité, l'ANSSI recommande la désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :

Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »
Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging »


Une vulnérabilité permettant de réaliser une exécution de code arbitraire à distance affecte le client RDP de tous les systèmes Windows :

https://portal.msrc.microsoft.com/fr-fr ... -2020-0611

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 17 janv. 2020 00:36

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 21 janv. 2020 13:22

Microsoft a annoncé le 17/01/2020, une vulnérabilité 0Day activement exploitée et non patchée pour le moment, affectant la bibliothèque JScript.dll d'Internet Explorer.

https://portal.msrc.microsoft.com/fr-fr ... /ADV200001

Microsoft propose de restreindre temporairement l'accès à la bibliothèque en alertant sur le fait qu'il serait nécessaire de faire marche arrière pour appliquer le correctif de sécurité.

Une alerte ANSSI a été ouverte sur le sujet :

https://www.cert.ssi.gouv.fr/alerte/CER ... 0-ALE-006/

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 12 févr. 2020 01:14

Le patch tuesday de février est arrivé le 11/02/2020 avec 99 vulnérabilités corrigées et des correctifs pour les produits suivants :

Microsoft Windows
Microsoft Edge (basé sur EdgeHTML)
Microsoft Edge (basé sur Chromium)
ChakraCore
Internet Explorer
Microsoft Exchange Server
Microsoft SQL Server
Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
Outil de suppression de logiciels malveillants Windows
Windows Surface Hub

Systèmes clients :

Windows 7 (support étendu uniquement) : 47 vulnérabilités : 5 critiques et 42 importantes
CVE-2020-0662 | Vulnérabilité de l'exécution à distance du code Windows
CVE-2020-0681 | Vulnérabilité de l'exécution à distance du code d'un client de bureau à distance
CVE-2020-0729 | Vulnérabilité de l'exécution à distance du code LNK
CVE-2020-0734 | Vulnérabilité de l'exécution à distance du code du client de bureau
CVE-2020-0738 | Fondation des médias - Mémoire de la vulnérabilité à la corruption
Windows 8.1 : 50 vulnérabilités : 5 classées critiques et 45 classées importantes
même que Windows 7
Windows 10 version 1803 : 71 vulnérabilités : 5 critiques et 66 importantes
CVE-2020-0662 | Vulnérabilité de l'exécution à distance du code Windows
CVE-2020-0681 | Vulnérabilité de l'exécution à distance du code d'un client de bureau à distance
CVE-2020-0729 | Vulnérabilité de l'exécution à distance du code LNK
CVE-2020-0734 | Vulnérabilité de l'exécution à distance du code du client de bureau
CVE-2020-0738 | Fondation des médias - Mémoire de la vulnérabilité à la corruption
Windows 10 version 1809 : 72 vulnérabilités : 5 critiques et 68 importantes
même que Windows 10 version 1803
Windows 10 version 1903 : 72 vulnérabilités : 5 critiques et 68 importantes
même que Windows 10 version 1803
Windows 10 version 1909 : identique à Windows 10 version 1903

Systèmes serveurs :

Windows Server 2008 R2 (support étendu uniquement) : 47 vulnérabilités, 5 critiques, 42 importantes
CVE-2020-0662 | Vulnérabilité de l'exécution à distance du code Windows
CVE-2020-0681 | Vulnérabilité de l'exécution à distance du code d'un client de bureau à distance
CVE-2020-0729 | Vulnérabilité de l'exécution à distance du code LNK
CVE-2020-0734 | Vulnérabilité de l'exécution à distance du code du client de bureau
CVE-2020-0738 | Fondation des médias - Mémoire de la vulnérabilité à la corruption
Windows Server 2012 R2 : 50 vulnérabilités : 5 critiques et 45 importantes.
identique à Windows Server 2008 R2
Windows Server 2016 : 65 vulnérabilités : 5 critiques et 60 importantes.
identique à Windows Server 2008 R2
Windows Server 2019 : 73 vulnérabilités : 5 critiques et 68 importantes
même que Windows Server 2008 R2

Navigateurs :

Internet Explorer 11 : 3 vulnérabilité : 2 critiques, 1 importante
CVE-2020-0673 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0674 | Vulnérabilité du moteur de script à la corruption de la mémoire
Microsoft Edge : 7 vulnérabilités : 5 critiques, 2 importantes
CVE-2020-0710 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0711 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0712 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0713 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0767 | Vulnérabilité du moteur de script à la corruption de la mémoire
 ! Message de : charles
À noter, ce mois-ci pas mal de vulnérabilités de type exécution de code arbitraire à distance (RCE) ont été corrigées :
Dont la CVE-2020-0674 affectant Internet Explorer et déjà activement exploitée :

https://portal.msrc.microsoft.com/fr-FR ... -2020-0674

Nous en avions déjà parlé ici : viewtopic.php?f=78&t=742&p=5501#p5501

Toujours sur IE :

https://portal.msrc.microsoft.com/fr-FR ... -2020-0673

Côté Edge :

https://portal.msrc.microsoft.com/fr-FR ... -2020-0710

https://portal.msrc.microsoft.com/fr-FR ... -2020-0711

https://portal.msrc.microsoft.com/fr-FR ... -2020-0712

https://portal.msrc.microsoft.com/fr-FR ... -2020-0713

https://portal.msrc.microsoft.com/fr-FR ... -2020-0767

De nouvelles RCE sur le client RDP de Windows :

https://portal.msrc.microsoft.com/fr-FR ... -2020-0681

https://portal.msrc.microsoft.com/fr-FR ... -2020-0734

Et plus largement sur Windows :

https://portal.msrc.microsoft.com/fr-FR ... -2020-0738

https://portal.msrc.microsoft.com/fr-FR ... -2020-0729

https://portal.msrc.microsoft.com/fr-FR ... -2020-0662

Happy patching !

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

RCE en cours de scan dans Exchange

Message par charles » 28 févr. 2020 20:57

Le CERT-FR de l'ANSSI a ouvert le 27/02/2020 une alerte relative à une campagne de détection de la vulnérabilité CVE-2020-0688 permettant de réaliser une exécution de code arbitraire à distance dans Exchange. Des attaques sont donc à craindre rapidement.

https://www.cert.ssi.gouv.fr/alerte/CER ... 0-ALE-007/

Un correctif a été publié le 11/02/2020 par Microsoft :

https://portal.msrc.microsoft.com/fr-FR ... -2020-0688

Pour plus d'infos :



https://www.thezdi.com/blog/2020/2/24/c ... aphic-keys


À noter que seules les dernières versions Cumulative Update sont susceptibles de recevoir le correctif de sécurité :

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4

Ce qui ne veut pas dire que les versions antérieures ne sont pas vulnérables.

Pour vérifier votre version d'Exchange :

Code : Tout sélectionner

Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion
Pour avoir la correspondance des builds / CU :

https://docs.microsoft.com/fr-fr/Exchan ... ease-dates

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 12 mars 2020 23:59

Le patch tuesday de mars est arrivé le 10/03/2020, avec des correctifs pour les produits suivants :


Microsoft Windows
Microsoft Edge (basé sur EdgeHTML)
Microsoft Edge (basé sur Chromium)
ChakraCore
Internet Explorer
Microsoft Exchange Server
Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
Azure DevOps
Windows Defender
Visual Studio
Logiciels open source
Azure
Microsoft Dynamics

https://portal.msrc.microsoft.com/fr-fr ... l/2020-Mar

115 vulnérabilités dont 26 critiques ont été corrigées.

Systèmes clients :

Windows 7 (support étendu uniquement) : 39 vulnérabilités : 3 critiques et 36 importantes
CVE-2020-0684 | Vulnérabilité de l'exécution à distance du code LNK
CVE-2020-0881 | Vulnérabilité de l'exécution à distance des codes GDI
CVE-2020-0883 | Vulnérabilité de l'exécution à distance des codes GDI

Windows 8.1 : 55 vulnérabilités : 3 classées critiques et 52 classées importantes
CVE-2020-0684 | Vulnérabilité de l'exécution à distance du code LNK
CVE-2020-0881 | Vulnérabilité de l'exécution à distance des codes GDI
CVE-2020-0883 | Vulnérabilité de l'exécution à distance des codes GDI

Windows 10 version 1803 : 71 vulnérabilités : 7 critiques et 64 importantes
CVE-2020-0684 | Vulnérabilité de l'exécution à distance du code LNK
CVE-2020-0809 | Fondation des médias - Vulnérabilité à la corruption de la mémoire
CVE-2020-0801 | Fondation des médias - Mémoire vulnérable à la corruption
CVE-2020-0807 | Fondation des médias - Vulnérabilité à la corruption de la mémoire
CVE-2020-0869 | Fondation des médias La vulnérabilité à la corruption de la mémoire
CVE-2020-0881 | Vulnérabilité de l'exécution à distance des codes GDI
CVE-2020-0883 | Vulnérabilité de l'exécution à distance des codes GDI

Windows 10 version 1809 : 73 vulnérabilités : 7 critiques et 66 importantes
même que Windows 10 version 1803

Windows 10 version 1903 : 75 vulnérabilités : 7 critiques et 68 importantes
même que Windows 10 version 1803

Windows 10 version 1909 : identique à Windows 10 version 1903

Systèmes serveurs :

Windows Server 2008 R2 (support étendu uniquement) : 47 vulnérabilités, 5 critiques, 42 importantes
Windows Server 2012 R2 : 55 vulnérabilités : 3 critiques et 52 importantes.
CVE-2020-0684 | Vulnérabilité de l'exécution de code à distance LNK
CVE-2020-0881 | Vulnérabilité de l'exécution à distance des codes GDI
CVE-2020-0883 | Vulnérabilité de l'exécution à distance des codes GDI

Windows Server 2016 : 71 vulnérabilités : 6 critiques et 65 importantes.
CVE-2020-0684 | Vulnérabilité de l'exécution de code à distance LNK
CVE-2020-0809 | Fondation des médias - Vulnérabilité à la corruption de la mémoire
CVE-2020-0801 | Fondation des médias - Mémoire vulnérable à la corruption
CVE-2020-0869 | Fondation des médias La vulnérabilité à la corruption de la mémoire
CVE-2020-0881 | Vulnérabilité de l'exécution à distance des codes GDI
CVE-2020-0883 | Vulnérabilité de l'exécution à distance des codes GDI

Windows Server 2019 : 72 vulnérabilités : 7 critiques et 65 importantes
Identique à Windows Server 2016 plus
CVE-2020-0807 | Fondation des médias - Vulnérabilité à la corruption de la mémoire

Navigateurs :

Internet Explorer 11 : 6 vulnérabilité : 6 critique
CVE-2020-0768 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0824 | Vulnérabilité à la corruption de la mémoire d'Internet Explorer
CVE-2020-0830 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0832 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0833 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0847 | Vulnérabilité de l'exécution à distance du code VBScript

Microsoft Edge : 14 vulnérabilités : 13 critiques, 1 importante
CVE-2020-0768 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0811 | Vulnérabilité à la corruption de la mémoire du moteur de script Chakra
CVE-2020-0812 | Vulnérabilité à la corruption de la mémoire du moteur de script Chakra
CVE-2020-0816 | Vulnérabilité de Microsoft Edge à la corruption de la mémoire
CVE-2020-0823 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0825 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0826 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0827 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0828 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0829 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0830 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0831 | Vulnérabilité du moteur de script à la corruption de la mémoire
CVE-2020-0848 | Vulnérabilité du moteur de script à la corruption de la mémoire

Microsoft Edge sur le chrome :
voir : https://docs.microsoft.com/en-us/Deploy ... s-security

À noter également, deux vulnérabilité de type exécution de code arbitraire à distance ont été corrigées dans Word :

https://portal.msrc.microsoft.com/fr-fr ... -2020-0892
https://portal.msrc.microsoft.com/fr-fr ... -2020-0850

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 13 mars 2020 00:02

La vulnérabilité CVE-2020-0796 affectant le mécanisme de compression des flux implémenté par Microsoft dans protocole SMBV3.1.1 pourrait permettre à un attaquant non authentifié d’exécuter du code arbitraire à distance aussi bien sur un serveur, que sur un client SMBV3.1.1.


Microsoft a ouvert une alerte relative à cette vulnérabilité le 10/03/2020 :

https://portal.msrc.microsoft.com/fr-fr ... /ADV200005


Le CERT-FR de l’ANSSI a ouvert une alerte le 11/03/2020 :

https://www.cert.ssi.gouv.fr/alerte/CER ... 0-ALE-008/


Microsoft a publié un correctif de sécurité le 12/03/2020 :

https://portal.msrc.microsoft.com/fr-fr ... -2020-0796


Risques :

Exécution de code arbitraire à distance.


Systèmes affectés :

Windows 10 version 1903
Windows 10 version 1909
Windows Server (Server Core Installation) version 1903
Windows Server (Server Core Installation) version 1909

Recommandations :

1. Application des correctifs :

Il est recommandé d’appliquer le correctif de sécurité KB4551762 sur les systèmes concernés. À noter que les versions Windows Server 2019, 2016 et précédentes ne sont pas affectées. Seuls les systèmes clients et serveurs en versions 1903 et 1909 sont concernés.

Les correctifs sont disponibles via Windows Update, WSUS et en téléchargement direct depuis le catalogue Microsoft Update :

https://www.catalog.update.microsoft.co ... =KB4551762


2. Solution de contournement temporaire :

Pour les serveurs qui ne pourraient pas être redémarrés rapidement, Microsoft suggère la désactivation de la compression des flux dans SMBV3.1.1 via la commande Powershell suivante :

Code : Tout sélectionner

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Cette action ne nécessite pas de redémarrage.
Attention, cette solution d’atténuation n’est valable que pour la partie serveur SMBV3.1.1. Le client SMBV3.1.1 reste quant à lui vulnérable en cas de connexion à un serveur SMB malveillant.


La ré-activation de la compression des flux peut se faire via la commande Powershell suivante :

Code : Tout sélectionner

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Cette action ne nécessite pas de redémarrage.


3. Rappel des bonnes pratiques

- Il est recommandé de limiter les accès SMB (port 445/TCP) au strict nécessaire (contrôleurs de domaine, serveurs de fichiers, serveurs d’impression…)

- Interdire les connexions SMB poste à poste.

- Interdire les connexions SMB en entrée et sortie vers l’extérieur du système d’informations.

- Dans le cas de postes nomades, utiliser un VPN pour établir la connexion.

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 18 mars 2020 07:54

Deux nouvelles CU pour Exchange ont été publiées le 17/03/2020 :

Cumulative Update 5 for Exchange Server 2019 : https://support.microsoft.com/fr-fr/hel ... erver-2019

Cumulative Update 16 for Exchange Server 2016 : https://support.microsoft.com/fr-fr/hel ... erver-2016

Avatar du membre
charles
Administrateur du site
Messages : 4868
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mises à jour de sécurité Microsoft

Message par charles » 24 mars 2020 08:58

Microsoft a publié le 23/03/2020, une alerte relative à deux vulnérabilités exploitées dans des attaques ciblées, affectant les systèmes Windows et permettant de réaliser une exécution de code arbitraire à distance.
Plus précisément, les vulnérabilités concernent la bibliothèque Windows Adobe Type Manager qui traite de manière incorrecte une police multi-maître PostScript Type 1 d’Adobe.
Un attaquant pourrait exploiter la vulnérabilité en incitant un utilisateur à ouvrir un document spécialement conçu ou à l’afficher dans le volet de visualisation Windows.

Dans l'attente d'un correctif, Microsoft propose comme solutions de contournement :

- Désactiver le volet de visualisation et le volet des détails dans l’Explorateur Windows
- Désactiver le service WebClient
- Renommer ATMFD.DLL

#BONCOURAGE
Microsoft a écrit : Solutions de contournement

Désactiver le volet de visualisation et le volet des détails dans l’Explorateur Windows


La désactivation des volets de visualisation et des détails de l’Explorateur Windows empêche l’affichage automatique des polices OTF dans l’Explorateur Windows. Bien que cela empêche l’affichage des fichiers malveillants dans l’Explorateur Windows, un utilisateur local authentifié a toujours la possibilité d’exécuter un programme spécialement conçu pour exploiter cette vulnérabilité. Pour désactiver ces volets dans Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 et Windows 8.1, procédez comme suit :

Code : Tout sélectionner

    Ouvrez l’Explorateur Windows, cliquez sur Organiser, puis sur Disposition.
    Désactivez les options de menu Volet des détails et Volet de visualisation.
    Cliquez sur Organiser, puis sur Options des dossiers et de recherche.
    Cliquez sur l’onglet Affichage.
    Sous Paramètres avancés, activez la case Toujours afficher des icônes, jamais des miniatures.
    Fermez toutes les instances ouvertes de l’Explorateur Windows pour que la modification soit appliquée.
Pour Windows Server 2016, Windows 10 et Windows Server 2019, procédez comme suit :

Code : Tout sélectionner

    Ouvrez l’Explorateur Windows, puis cliquez sur l’onglet Affichage.
    Désactivez les options de menu Volet d’informations et Volet de visualisation.
    Cliquez sur Options, puis sur Modifier les options des dossiers et de recherche.
    Cliquez sur l’onglet Affichage.
    Sous Paramètres avancés, activez la case Toujours afficher des icônes, jamais des miniatures.
    Fermez toutes les instances ouvertes de l’Explorateur Windows pour que la modification soit appliquée.
Impact de cette solution de contournement.

L’Explorateur Windows n’affiche plus automatiquement les polices OTF.

Procédure d’annulation de la solution de contournement.

Pour réactiver les volets de visualisation et des détails pour Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 et Windows 8.1, procédez comme suit :

Code : Tout sélectionner

    Ouvrez l’Explorateur Windows, cliquez sur Organiser, puis sur Disposition.
    Activez les options de menu Volet des détails et Volet de visualisation.
    Cliquez sur Organiser, puis sur Options des dossiers et de recherche.
    Cliquez sur l’onglet Affichage.
    Sous Paramètres avancés, désactivez la case Toujours afficher des icônes, jamais des miniatures.
    Fermez toutes les instances ouvertes de l’Explorateur Windows pour que la modification soit appliquée.
Pour Windows Server 2016, Windows 10 et Windows Server 2019, procédez comme suit :

Code : Tout sélectionner

    Ouvrez l’Explorateur Windows, puis cliquez sur l’onglet Affichage.
    Activez les options de menu Volet d’informations et Volet de visualisation.
    Cliquez sur Options, puis sur Modifier les options des dossiers et de recherche.
    Cliquez sur l’onglet Affichage.
    Sous Paramètres avancés, désactivez la case Toujours afficher des icônes, jamais des miniatures.
    Fermez toutes les instances ouvertes de l’Explorateur Windows pour que la modification soit appliquée.

Désactiver le service WebClient


La désactivation du service WebClient permet de protéger les systèmes affectés des tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus courant via le service client WebDAV (Web Distributed Authoring and Versioning). Après l’application de cette solution de contournement, il est toujours possible pour les attaquants distants qui parviennent à exploiter cette vulnérabilité d’entraîner l’exécution par le système de programmes situés sur l’ordinateur de l’utilisateur ciblé ou sur le réseau local (LAN), mais les utilisateurs seront invités à confirmer avant l’ouverture de programmes arbitraires à partir d’Internet.

Pour désactiver le service WebClient, procédez comme suit :

Code : Tout sélectionner

    Cliquez sur Démarrer, sur Exécuter (ou appuyez sur la touche Windows et sur R sur le clavier), tapez Services.msc, puis cliquez sur OK.
    Cliquez avec le bouton droit sur le service WebClient, puis sélectionnez Propriétés.
    Sélectionnez le type de démarrage Désactivé. Si le service est en cours d’exécution, cliquez sur Arrêter.
    Cliquez sur OK et quittez l’application de gestion.
Impact de cette solution de contournement.

La désactivation du service WebClient empêche la transmission des requêtes WebDAV (Web Distributed Authoring and Versioning). Par ailleurs, les services qui dépendent explicitement du service WebClient ne démarreront pas et un message d’erreur sera consigné dans le journal système. Par exemple, les partages WebDAV seront inaccessibles à partir de l’ordinateur client.

Procédure d’annulation de la solution de contournement.

Pour réactiver le service WebClient, procédez comme suit :

Code : Tout sélectionner

    Cliquez sur Démarrer, cliquez sur Exécuter (ou appuyez sur la touche Windows et sur R sur le clavier), tapez Services.msc, puis cliquez sur OK.
    Cliquez avec le bouton droit sur le service WebClient, puis sélectionnez Propriétés.
    Sélectionnez le type de démarrage Automatique. Si le service ne s’exécute pas, cliquez sur Démarrer.
    Cliquez sur OK et quittez l’application de gestion.
Renommer ATMFD.DLL

Pour les systèmes 32 bits :

Exécutez les commandes suivantes à partir d’une invite de commandes d’administration :

Code : Tout sélectionner

cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F) 
rename atmfd.dll x-atmfd.dll
Redémarrez le système.

Pour les systèmes 64 bits :

Exécutez les commandes suivantes à partir d’une invite de commandes d’administration :

Code : Tout sélectionner

cd "%windir%\system32"
	takeown.exe /f atmfd.dll
	icacls.exe atmfd.dll /save atmfd.dll.acl
	icacls.exe atmfd.dll /grant Administrators:(F) 
	rename atmfd.dll x-atmfd.dll
	cd "%windir%\syswow64"
	takeown.exe /f atmfd.dll
	icacls.exe atmfd.dll /save atmfd.dll.acl
	icacls.exe atmfd.dll /grant Administrators:(F) 
	rename atmfd.dll x-atmfd.dll
Redémarrez le système.
Source et informations complémentaires : https://portal.msrc.microsoft.com/fr-fr ... /adv200006

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »