Partager via

Microsoft Security Advisory 3009008

  • Article

La vulnérabilité dans SSL 3.0 pourrait autoriser la divulgation d’informations

Publication : 14 octobre 2014 | Mise à jour : 14 avril 2015

Version : 3.0

Informations générales

Résumé

Microsoft est conscient des informations détaillées publiées décrivant une nouvelle méthode pour exploiter une vulnérabilité dans SSL 3.0. Il s’agit d’une vulnérabilité à l’échelle du secteur affectant le protocole SSL 3.0 lui-même et n’est pas spécifique au système d’exploitation Windows. Toutes les versions prises en charge de Microsoft Windows implémentent ce protocole et sont affectées par cette vulnérabilité. Microsoft ne connaît pas les attaques qui tentent d’utiliser la vulnérabilité signalée pour l’instant. Compte tenu du scénario d’attaque, cette vulnérabilité n’est pas considérée comme un risque élevé pour les clients.

Nous travaillons activement avec des partenaires dans notre Programme Microsoft Active Protections (MAPP) pour fournir des informations qu’ils peuvent utiliser pour fournir des protections plus étendues aux clients.

Microsoft annonce qu’avec la publication de la mise à jour de sécurité 3038314 le 14 avril 2015 SSL 3.0 est désactivé par défaut dans Internet Explorer 11. Microsoft annonce également que SSL 3.0 sera désactivé dans Microsoft services en ligne au cours des prochains mois. Nous vous recommandons de migrer des clients et des services vers des protocoles de sécurité plus sécurisés, tels que TLS 1.0, TLS 1.1 ou TLS 1.2.

Facteurs d’atténuation :

  • L’attaquant doit effectuer plusieurs centaines de requêtes HTTPS avant que l’attaque ne réussisse.
  • TLS 1.0, TLS 1.1, TLS 1.2 et toutes les suites de chiffrement qui n’utilisent pas le mode CBC ne sont pas affectées.

Recommandation. Consultez la section Actions suggérées de cet avis pour les solutions de contournement permettant de désactiver SSL 3.0. Microsoft recommande aux clients d’utiliser ces solutions de contournement pour tester leurs clients et services pour l’utilisation de SSL 3.0 et commencer à migrer en conséquence.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Informations de référence Identification
Article de la base de connaissances 3009008
Référence CVE CVE-2014-3566 

Logiciel affecté

Cet avis traite du logiciel suivant.

Logiciel affecté

|**Système d’exploitation**| |------------| |Windows Server 2003 Service Pack 2 | |Windows Server 2003 x64 Edition Service Pack 2 | |Windows Server 2003 avec SP2 pour les systèmes Itanium | |Windows Vista Service Pack 2 | |Windows Vista x64 Edition Service Pack 2 | |Windows Server 2008 pour systèmes 32 bits Service Pack 2 | |Windows Server 2008 pour systèmes x64 Service Pack 2 | |Windows Server 2008 pour les systèmes Itanium Service Pack 2 | |Windows 7 pour systèmes 32 bits Service Pack 1 | |Windows 7 pour systèmes x64 Service Pack 1 | |Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | |Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | |Windows 8 pour systèmes 32 bits | |Windows 8 pour systèmes x64 | |Windows 8.1 pour les systèmes 32 bits | |Windows 8.1 pour systèmes x64 | |Windows Server 2012 | |Windows Server 2012 R2 | |Windows RT| |Windows RT 8.1 | |**Option d’installation minimale**| |Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)| |Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)| |Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core)| |Windows Server 2012 (installation Server Core)| |Windows Server 2012 R2 (installation Server Core)|

 

Faq sur les conseils


J’utilise une version d’Internet Explorer autre que 11. Comment protéger mon système contre cette vulnérabilité ?
SSL 3.0 a été désactivé uniquement dans Internet Explorer 11 sur toutes les éditions prises en charge de Microsoft Windows. Si vous utilisez une autre version d’Internet Explorer, consultez la section Solutions de contournement suggérées pour les solutions de contournement que vous pouvez appliquer à votre système pour la protéger contre cette vulnérabilité.

Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que Microsoft connaît des informations détaillées décrivant une nouvelle méthode pour exploiter une vulnérabilité affectant SSL 3.0. Cette vulnérabilité est une vulnérabilité de divulgation d’informations.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Dans une attaque miTM (man-in-the-middle), un attaquant peut rétrograder une session TLS chiffrée forçant les clients à utiliser SSL 3.0, puis forcer le navigateur à exécuter du code malveillant. Ce code envoie plusieurs requêtes à un site web HTTPS cible, où les cookies sont envoyés automatiquement si une session authentifiée précédente existe. Il s’agit d’une condition requise pour exploiter cette vulnérabilité. L’attaquant peut ensuite intercepter ce trafic HTTPS, et en exploitant une faiblesse du chiffrement de bloc CBC dans SSL 3.0, peut déchiffrer des parties du trafic chiffré (par exemple, les cookies d’authentification).

Qu’est-ce qu’un attaquant peut utiliser cette vulnérabilité ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut déchiffrer des parties du trafic chiffré.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est due au manque de vérification du remplissage de chiffrement de bloc CBC dans SSL 3.0.

Qu’est-ce que SSL ?
Ssl (Secure Sockets Layer) est un protocole de chiffrement qui assure la sécurité des communications via Internet. SSL chiffre les données transférées sur le réseau, en utilisant le chiffrement pour la confidentialité et un code d’authentification de message à clé pour la fiabilité des messages.

Qu’est-ce que TLS ?
Tls (Transport Layer Security) est un protocole standard utilisé pour fournir des communications web sécurisées sur Internet ou sur des intranets. Il permet aux clients d’authentifier des serveurs ou, éventuellement, des serveurs pour authentifier les clients. Il fournit également un canal sécurisé en chiffrant les communications. TLS est la dernière version du protocole SSL (Secure Sockets Layer).

Tls est-il affecté par ce problème ?
Non. Ce problème est spécifique à SSL 3.0.

Est-ce une question à l’échelle de l’industrie ?
Oui. La vulnérabilité réside dans la conception du protocole SSL 3.0 et n’est pas limitée à l’implémentation de Microsoft.

Actions suggérées

Appliquer des solutions de contournement

Les solutions de contournement font référence à un paramètre ou à une modification de configuration qui ne corrige pas le problème sous-jacent, mais qui permet de bloquer les vecteurs d’attaque connus avant qu’une mise à jour de sécurité soit disponible.

  • Désactivez SSL 3.0 et activez TLS 1.0, TLS 1.1 et TLS 1.2 dans Internet Explorer

    Vous pouvez désactiver le protocole SSL 3.0 dans Internet Explorer en modifiant les paramètres de sécurité avancés dans Internet Explorer.

    Pour modifier la version de protocole par défaut à utiliser pour les requêtes HTTPS, procédez comme suit :

    1. Dans le menu Outils Internet Explorer, cliquez sur InternetOptions.
    2. Dans la boîte de dialogue InternetOptions , cliquez sur l’onglet Avancé .
    3. Dans la catégorie Sécurité, un case activée UseSSL3.0 et case activée Use TLS 1.0, Use TLS 1.1 et Use TLS 1.2 (si disponible).
    4. Notez qu’il est important de case activée versions consécutives. La sélection de versions consécutives (par exemple, case activée tls 1.0 et 1.2, mais pas case activée ing 1.1) peut entraîner des erreurs de connexion.
    5. Cliquez sur OK.
    6. Quittez, puis redémarrez Internet Explorer.

    Remarque Après avoir appliqué cette solution de contournement, Internet Explorer ne parvient pas à se connecter aux serveurs Web qui prennent uniquement en charge SSL jusqu’à 3.0 et ne prennent pas en charge TLS 1.0, TLS 1.1 et TLS 1.2. 

    Remarque :
    Consultez l’article de la Base de connaissances Microsoft 3009008 pour utiliser la solution de résolution automatisée microsoft pour désactiver SSL 3.0 uniquement dans Internet Explorer.

    Comment annuler la solution de contournement. Suivez ces étapes pour activer SSL 3.0 dans Internet Explorer.

    1. Dans le menu Outils Internet Explorer, cliquez sur InternetOptions.
    2. Dans la boîte de dialogue InternetOptions , cliquez sur l’onglet Avancé .
    3. Dans la catégorie Sécurité, case activée UseSSL3.0.
    4. Cliquez sur OK.
    5. Quittez, puis redémarrez Internet Explorer.

  • Désactivez SSL 3.0 et activez TLS 1.0, TLS 1.1 et TLS 1.2 pour Internet Explorer dans la stratégie de groupe

    Vous pouvez désactiver la prise en charge du protocole SSL 3.0 dans Internet Explorer via une stratégie de groupe en modifiant l’objet de stratégie de groupe de prise en charge de la désactivation du chiffrement.

    1. Ouvrez Gestion des stratégies de groupe.

    2. Sélectionnez l’objet de stratégie de groupe à modifier, cliquez avec le bouton droit et sélectionnez Modifier.

    3. Dans l’Éditeur de gestion des stratégies de groupe, accédez au paramètre suivant :
      Configuration de l’ordinateur -> modèles Administration istratives -> Composants Windows -> Internet Explorer -> Internet Panneau de configuration - Page avancée ->> Désactiver la prise en charge du chiffrement

    4. Double-cliquez sur le paramètre Désactiver la prise en charge du chiffrement pour modifier le paramètre.

    5. Cliquez sur Activé.

    6. Dans la fenêtre Options, remplacez le paramètre des combinaisons de protocole sécurisé par « Utiliser TLS 1.0, TLS 1.1 et TLS 1.2 ».

    7. Notez qu’il est important de case activée versions consécutives. La sélection de versions consécutives (par exemple, case activée tls 1.0 et 1.2, mais pas case activée ing 1.1) peut entraîner des erreurs de connexion.

    8. Cliquez sur OK.

      Notez que les Administration istrateurs doivent s’assurer que cette stratégie de groupe est appliquée de manière appropriée en liant l’objet de stratégie de groupe à l’unité d’organisation appropriée dans leur environnement.

    Remarque Après avoir appliqué cette solution de contournement, Internet Explorer ne parvient pas à se connecter aux serveurs Web qui prennent uniquement en charge SSL jusqu’à 3.0 et ne prennent pas en charge TLS 1.0, TLS 1.1 et TLS 1.2. 

    Comment annuler la solution de contournement. Procédez comme suit pour désactiver le paramètre de stratégie SSL 3.0 :

    1. Ouvrez Gestion des stratégies de groupe.

    2. Sélectionnez l’objet de stratégie de groupe à modifier, cliquez avec le bouton droit et sélectionnez Modifier.

    3. Dans l’Éditeur de gestion des stratégies de groupe, accédez au paramètre suivant :
      Configuration de l’ordinateur -> modèles Administration istratives -> Composants Windows -> Internet Explorer -> Internet Panneau de configuration - Page avancée ->> Désactiver la prise en charge du chiffrement

    4. Double-cliquez sur le paramètre Désactiver la prise en charge du chiffrement pour modifier le paramètre.

    5. Cliquez sur Désactivé.

    6. Cliquez sur OK.

  • Désactiver SSL 3.0 dans Windows

    Pour le logiciel serveur

    Vous pouvez désactiver la prise en charge du protocole SSL 3.0 sur Windows en procédant comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez regedt32 ou tapez regedit, puis cliquez sur OK.
    2. Dans l'Éditeur du Registre, recherchez la clé de Registre suivante :

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    Notez que si le chemin complet de la clé de Registre n’existe pas, vous pouvez le créer en développant les clés disponibles et en utilisant l’option Nouvelle clé> dans le menu Modifier.

    1. Dans le menu Modifier , cliquez sur AddValue.
    2. Dans la liste DataType , cliquez sur DWORD.
    3. Dans la zone ValueName , tapez Activé, puis cliquez sur OK

    Remarque Si cette valeur est présente, double-cliquez sur la valeur pour modifier sa valeur actuelle.

    1. Dans la boîte de dialogue Modifier la valeur DWORD (32 bits), tapez 0 .
    2. Cliquez sur OK. Redémarrez l'ordinateur.

     

    Notez que cette solution de contournement désactive SSL 3.0 pour tous les logiciels serveur installés sur un système, y compris IIS.

    Remarque Après avoir appliqué cette solution de contournement, les clients qui s’appuient uniquement sur SSL 3.0 ne pourront pas communiquer avec le serveur.

    Comment annuler la solution de contournement. Procédez comme suit pour désactiver SSL 3.0 dans le logiciel Windows Server :

    1. Ouvrez l'Éditeur du Registre.
    2. Recherchez, puis cliquez sur la sous-clé de Registre suivante :

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    1. Dans le menu Modifier, cliquez sur Supprimer.
    2. Cliquez sur Oui lorsque vous y êtes invité.
    3. Quittez l’Éditeur du Registre.
    4. Redémarrez le système.

    Pour le logiciel client

    Vous pouvez désactiver la prise en charge du protocole SSL 3.0 sur Windows en procédant comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez regedt32 ou tapez regedit, puis cliquez sur OK.
    2. Dans l'Éditeur du Registre, recherchez la clé de Registre suivante :

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    Notez que si le chemin complet de la clé de Registre n’existe pas, vous pouvez le créer en développant les clés disponibles et en utilisant l’option Nouvelle clé> dans le menu Modifier.

    1. Dans le menu Modifier , cliquez sur AddValue.
    2. Dans la liste DataType , cliquez sur DWORD.
    3. Dans la zone ValueName , tapez Activé, puis cliquez sur OK

    Remarque Si cette valeur est présente, double-cliquez sur la valeur pour modifier sa valeur actuelle.

    1. Dans la boîte de dialogue Modifier la valeur DWORD (32 bits), tapez 0 .
    2. Cliquez sur OK. Redémarrez l'ordinateur.

     

    Notez que cette solution de contournement désactive SSL 3.0 pour tous les logiciels clients installés sur un système.

    Remarque Après avoir appliqué cette solution de contournement, les applications clientes sur cet ordinateur ne pourront pas communiquer avec d’autres serveurs qui prennent uniquement en charge SSL 3.0.

    Comment annuler la solution de contournement. Procédez comme suit pour désactiver SSL 3.0 dans le logiciel client Windows :

    1. Ouvrez l'Éditeur du Registre.
    2. Recherchez, puis cliquez sur la sous-clé de Registre suivante :

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    1. Dans le menu Modifier, cliquez sur Supprimer.
    2. Cliquez sur Oui lorsque vous y êtes invité.
    3. Quittez l’Éditeur du Registre.
    4. Redémarrez le système.

Actions suggérées supplémentaires

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.

  • Conserver les logiciels Microsoft mis à jour

    Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.

Remerciements

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

  • Bodo Möller de l’équipe de sécurité Google pour travailler avec nous sur ce problème

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (14 octobre 2014) : avis publié.
  • V1.1 (15 octobre 2014) : avis révisé pour inclure une solution de contournement pour désactiver le protocole SSL 3.0 dans Windows.
  • V2.0 (29 octobre 2014) : avis révisé pour annoncer la dépréciation de SSL 3.0, afin de clarifier les instructions de contournement relatives à la désactivation de SSL 3.0 sur les serveurs Windows et sur les clients Windows, et à annoncer la disponibilité d’une solution Microsoft Fix it pour Internet Explorer. Pour plus d’informations, consultez l’article de la Base de connaissances 3009008.
  • V2.1 (9 décembre 2014) : Microsoft annonce la disponibilité des avertissements de secours SSL 3.0 dans Internet Explorer 11. Pour plus d’informations, consultez l’article de la Base de connaissances 3013210.
  • V2.2 (10 février 2015) : Microsoft annonce que les tentatives de secours SSL 3.0 sont désactivées par défaut dans Internet Explorer 11. Pour plus d’informations, consultez l’article 3021952 de la Base de connaissances Microsoft.
  • V2.3 (16 février 2015) : avis révisé pour annoncer la date prévue de désactivation du protocole SSL 3.0 par défaut dans Internet Explorer 11.
  • V3.0 (14 avril 2015) Avis révisé pour annoncer la publication de la mise à jour de sécurité 3038314 le 14 avril 2015 SSL 3.0 est désactivé par défaut dans Internet Explorer 11 et pour ajouter des instructions pour annuler les solutions de contournement.

Page générée 2015-04-07 14 :32Z-07 :00.