Bulletin de sécurité Microsoft MS13-034 - Important

Une vulnérabilité dans le client du logiciel anti-programme malveillant de Microsoft pourrait permettre une élévation de privilèges (2823482)

Paru le: mardi 9 avril 2013 | Mis(e) à jour: mardi 8 octobre 2013

Version: 1.2

Informations générales

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le client du logiciel anti-programme malveillant de Microsoft. Cette vulnérabilité pourrait permettre une élévation de privilèges en raison des noms de chemin d'accès utilisés par le client du logiciel anti-programme malveillant de Microsoft. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait exécuter du code arbitraire et prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer des comptes dotés de tous les privilèges. Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides. Cette vulnérabilité ne peut pas être exploitée par des utilisateurs anonymes.

Cette mise à jour de sécurité est de niveau « important » pour le client du logiciel anti-programme malveillant de Microsoft dans les versions en cours de support de Windows Defender pour Windows 8 et Windows RT. Cette mise à jour de sécurité n'a pas d'indice de gravité pour le client du logiciel anti-programme malveillant de Microsoft dans les autres logiciels anti-programme malveillant de Microsoft. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant les noms de chemin d'accès utilisés par le client du logiciel anti-programme malveillant de Microsoft. Pour obtenir plus d'informations sur les vulnérabilités, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ».

Recommandation. La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft.

Pour les administrateurs et les installations d'entreprise, ou bien pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement, Microsoft recommande à ses clients d'appliquer cette mise à jour le plus rapidement possible à l'aide du logiciel de gestion des mises à jour ou en recherchant des mises à jour à l'aide du service Microsoft Update.

Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin.

Article de la Base de connaissances

Article de la Base de connaissances 2823482
Informations sur les fichiers Oui
Mots de passe hachés SHA1/SHA2 Oui
Problèmes connus Aucun

Logiciels concernés et non concernés

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés

Logiciel anti-programme malveillant Impact de sécurité maximal Indice de gravité cumulée Mises à jour remplacées
Windows Defender pour Windows 8 et Windows RT[1]
(2781197)
Élévation de privilèges Important Aucun
[1]Cette mise à jour est disponible via [Windows Update](http://go.microsoft.com/fwlink/?linkid=21130). **Logiciels non concernés** | Logiciel anti-programme malveillant | |--------------------------------------------------------------------------------------------------------------------------------| | Windows Defender pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 | | Microsoft Security Essentials | | Microsoft Forefront Client Security | | Microsoft Forefront Endpoint Protection 2010 | | Microsoft System Center 2012 Endpoint Protection | | Microsoft System Center 2012 Endpoint Protection Service Pack 1 | | Windows Intune Endpoint Protection | | Microsoft System Center 2012 Endpoint Protection pour Linux | | Microsoft System Center 2012 Endpoint Protection pour Mac | | Microsoft System Center 2012 Endpoint Protection pour Mac Service Pack 1 | | Outil de suppression des logiciels malveillants | | Microsoft Antigen pour Exchange | | Microsoft Antigen pour passerelle SMTP | | Forefront Security pour Exchange Server | | Forefront Protection 2010 pour Exchange Server | | Forefront Threat Management Gateway 2010 Service Pack 2 | | Microsoft Forefront Security pour SharePoint | | Forefront Security pour Office Communications Server | | Microsoft Standalone System Sweeper (fourni avec Microsoft Diagnostics and Recovery Toolset) | Forum aux questions concernant les mises à jour -----------------------------------------------

Cette mise à jour comporte-t-elle d'autres modifications non relatives à la sécurité affectant les fonctionnalités ?
Oui. Outre les modifications indiquées dans la section « Informations par vulnérabilité » de ce Bulletin, cette mise à jour inclut d'autres modifications de fonctionnalités, comme décrit dans l'Article 2781197 de la Base de connaissances Microsoft.

Qu'est-ce que Windows Defender ?
Windows Defender est un logiciel anti-programme malveillant gratuit, désormais inclus dans Windows 8. Il contribue à la protection de l'ordinateur d'un utilisateur contre les programmes malveillants et autres logiciels potentiellement indésirables. Windows Defender fournit une protection en temps réel et des options d'analyse à tout moment.

À quelles versions du client du logiciel anti-programme malveillant de Microsoft dans Windows Defendercette mise à jour s'applique-t-elle ?
Si la version du client du logiciel anti-programme malveillant est supérieure ou égale à la version 4.2.223.0, votre client a déjà été mis à jour et aucune action supplémentaire n'est requise. Si la version du client du logiciel anti-programme malveillant est inférieure à la version 4.2.223.0, vous devez alors installer la mise à jour.

Pour plus d'informations sur la vérification du numéro de version du client actuellement utilisé par votre logiciel, consultez la section « Vérification de l'installation de la mise à jour » de l'Article 2510781 de la Base de connaissances Microsoft.

Le client du logiciel anti-programme malveillant de Microsoft est-il mis à jour avec le Moteur de protection contre les logiciels malveillants Microsoft et les mises à jour des définitions de logiciels malveillants?
Non. Microsoft publie des mises à jour pour le client du logiciel anti-programme malveillant de Microsoft via des méthodes de distribution standard telles que le service Microsoft Update. Les mises à jour pour le client du logiciel anti-programme malveillant de Microsoft sont distinctes des mises à jour des définitions de logiciels malveillants.

Où puis-je trouver plus d'informations sur la technologie anti-programme malveillant de Microsoft?
Pour plus d'informations, consultez le site Web du Centre de protection contre les logiciels malveillants de Microsoft (en anglais).

J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire?
Microsoft a testé les logiciels répertoriés dans ce Bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.

Les clients qui utilisent une version antérieure de ces logiciels doivent prioritairement passer à une version en cours de support, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations à propos des Service Packs pour ces versions logicielles, consultez la page Politique de support relative aux Service Packs.

Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour obtenir des informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Lorsque vous appelez, demandez à parler au directeur commercial local de Support Premier. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.

Informations par vulnérabilité

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'avril. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné
Logiciel anti-programme malveillant installé Vulnérabilité liée au nom de chemin d'accès incorrect du logiciel anti-programme malveillant de Microsoft - CVE-2013-0078 Indice de gravité cumulée
Windows Defender pour Windows 8 et Windows RT **Important** Élévation de privilèges **Important**

Vulnérabilité liée au nom de chemin d'accès incorrect du logiciel anti-programme malveillant de Microsoft - CVE-2013-0078

Il s'agit d'une vulnérabilité d'élévation de privilèges. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides. Cette vulnérabilité ne peut pas être exploitée par des utilisateurs anonymes.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2013-0078.

Facteurs atténuants

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

  • Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides. Cette vulnérabilité ne peut pas être exploitée par des utilisateurs anonymes.
  • Dans une configuration Windows 8 par défaut, un utilisateur standard ne dispose pas des autorisations nécessaires pour écrire des fichiers dans le répertoire racine du système. Cela atténue la vulnérabilité car, dans une configuration par défaut, un utilisateur standard ne dispose pas des autorisations nécessaires pour exploiter cette vulnérabilité.

Solutions de contournement

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

  • Corriger le nom de chemin d'accès de l'image de Windows Defender sur les systèmes Windows 8 et Windows RT

    Utilisez cette solution de contournement pour bloquer les vecteurs d'attaque de la vulnérabilité sur les systèmes Windows 8 et Windows RT.

    Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.

    1. Créez une copie de sauvegarde des clés de Registre. Des copies de sauvegarde peuvent être créées via un script de déploiement en exécutant la commande suivante en tant qu'administrateur :

      Regedit.exe /e c:\temp\Windefend_backup.reg  
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
      

      Remarque : Lorsqu'elle est exécutée par un administrateur, la commande ci-dessus crée un fichier nommé « Windefend_backup.reg » dans le dossier c:\temp.

    2. Créez un fichier texte nommé Windefend_ImagePath_fix.reg avec le contenu suivant :

      Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]  
      "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\  
      69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\  
      00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,73,00,\  
      4d,00,70,00,45,00,6e,00,67,00,2e,00,65,00,78,00,65,00,22,00,00,00
      

      Enregistrez le fichier Windefend_ImagePath_fix.reg dans le dossier c:\temp.

    3. Exécutez le fichier de script de Registre créé à l'étape 2 sur le système cible à l'aide de l'une des méthodes suivantes :

      Méthode 1 :

      Double-cliquez sur le fichier Windefend_ImagePath_fix.reg.

      Le message de confirmation suivant doit normalement s'afficher :

      Les clés et valeurs contenues dans C:\temp\Windefend_ImagePath_fix.reg ont été correctement ajoutées au Registre.

      Méthode 2 :

      Exécutez la commande suivante en tant qu'administrateur :

      Regedit /s c:\temp\Windefend_ImagePath_fix.reg

      Avertissement : La méthode utilisant la ligne de commande ci-dessus ne génère aucun message de confirmation. Vous ne saurez pas si les clés et les valeurs de Registre ont bien été ajoutées au Registre.

    Impact de cette solution de contournement. Aucun. Cette solution de contournement modifie le nom de chemin d'accès de l'image et y attribue la valeur correcte.

    Comment annuler cette solution de contournement.

    Restaurez le fichier de sauvegarde créé à l'étape 1 ci-dessus, à l'aide de l'une des méthodes suivantes :

    • Double-cliquez sur le fichier Windefend_backup.reg.

      Le message de confirmation suivant doit normalement s'afficher :

      Les clés et valeurs contenues dans C:\temp\Windefend_backup.reg ont été correctement ajoutées au Registre.

    • Exécutez la commande suivante en tant qu'administrateur :

      Regedit /s c:\temp\Windefend_backup.reg

      Avertissement : La méthode utilisant la ligne de commande ci-dessus ne génère aucun message de confirmation. Vous ne saurez pas si les clés et les valeurs de Registre ont bien été ajoutées au Registre.

Forum aux questions

Quelle est la portée de cette vulnérabilité?
Il s'agit d'une vulnérabilité d'élévation de privilèges.

Quelle est la cause de cette vulnérabilité?
Cette vulnérabilité survient lorsque des noms de chemin d'accès incorrects sont utilisés par le client du logiciel anti-programme malveillant de Microsoft.

Que pourrait faire un attaquant en exploitant cette vulnérabilité?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides. Cette vulnérabilité ne peut pas être exploitée par des utilisateurs anonymes.

Qu'est-ce que le compte LocalSystem ?
LocalSystem est un compte local prédéfini utilisé par le Gestionnaire de contrôle des services. Il possède des privilèges étendus sur l'ordinateur local et agit pour le compte de l'ordinateur sur le réseau. Son jeton inclut les identifiants de sécurité (SID - Security Identifiers) NT AUTHORITY\SYSTEM et BUILTIN\Administrators ; ces comptes ont accès à la plupart des objets système. Un service qui s'exécute dans le contexte du compte LocalSystem hérite du contexte de sécurité du Gestionnaire de contrôle des services. La plupart des services n'ont pas besoin d'un niveau de privilège aussi élevé. Pour plus d'informations, consultez l'article MSDN consacré au compte LocalSystem (en anglais).

Comment un attaquant pourrait-il exploiter cette vulnérabilité?
Pour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. Il pourrait alors exécuter une application spécialement conçue capable d'exploiter la vulnérabilité.

Quels sont les systèmes les plus exposés à cette vulnérabilité?
Les postes de travail Windows 8 sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour?
Cette mise à jour corrige la vulnérabilité en modifiant les noms de chemin d'accès utilisés par le client du logiciel anti-programme malveillant de Microsoft.

Lors de la parution de cet Avis de sécurité, cette vulnérabilité avait-elle été révélée publiquement ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de cet Avis de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de ces vulnérabilités dans le but d'attaquer des clients.

Informations concernant la mise à jour

Outils de détection, de déploiement et Conseils

Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité.

  • Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité courantes sur les systèmes locaux et distants.
  • Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager (SCCM) aident les administrateurs à distribuer les mises à jour de sécurité.
  • Les composants d'évaluation de la compatibilité des mises à jour (Update Compatibility Evaluator) inclus avec les outils d'analyse de compatibilité des applications (Application Compatibility Toolkit) contribuent à rationaliser le test et la validation des mises à jour Windows en fonction des applications installées.

Pour obtenir plus d'informations sur ces outils et des conseils sur le déploiement des mises à jour de sécurité sur les réseaux, consultez la page « Outils de sécurité ».

Déploiement de la mise à jour de sécurité

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :

Mise à jour du client du logiciel anti-programme malveillant

Conditions requises

Cette mise à jour de sécurité nécessite l'installation préalable de l'un des logiciels anti-programme malveillant suivants :

  • Windows Defender pour Windows 8 et Windows RT

Installation de la mise à jour

Les administrateurs de déploiements anti-programme malveillant d'entreprise doivent s'assurer que leur logiciel de gestion des mises à jour est configuré pour approuver et distribuer automatiquement les mises à jour du client du logiciel anti-programme malveillant, du moteur de protection contre les logiciels malveillants et des nouvelles définitions.

Pour les déploiements en entreprise tout comme les utilisateurs finaux, les mises à jour sont généralement téléchargées et installées via le logiciel de gestion des mises à jour ou les mises à jour automatiques.

Les utilisateurs finaux peuvent également mettre à jour manuellement leur logiciel anti-programme malveillant en vérifiant la disponibilité de mises à jour à l'aide du service Microsoft Update ou Windows Update, selon le système d'exploitation et le logiciel anti-programme malveillant. Pour plus de détails, consultez le tableau ci-dessous :

Logiciels Mécanisme de mise à jour
Windows Defender pour Windows 8 et Windows RT Windows Update

Les packages de mise à jour de Windows Defender pour Windows 8 sont également disponibles sur le Centre de téléchargement Microsoft. Consultez l'Article 2781197 de la Base de connaissances Microsoft pour obtenir les liens de téléchargement.

Vérification de l'installation de la mise à jour

Vous pouvez vérifier que cette mise à jour a été installée en vérifiant le numéro de version du client du logiciel anti-programme malveillant de Microsoft.

Si votre version est égale à 4.2.223.0, la mise à jour a été installée.

Remarque : Si votre version est supérieure ou égale à la version 4.2.223.0, le logiciel anti-programme malveillant n'est pas affecté par la vulnérabilité et aucune action supplémentaire n'est requise.

Pour plus d'informations sur la vérification du numéro de version du client actuellement utilisé par votre logiciel, consultez la section « Vérification de l'installation de la mise à jour » de l'Article 2510781 de la Base de connaissances Microsoft.

Nécessité de redémarrer

Oui, vous devez redémarrer votre système après avoir appliqué cette mise à jour de sécurité.

Suppression de la mise à jour

Cliquez sur Panneau de configuration, puis sur Système et sécurité et Windows Update, puis, sous Voir aussi, cliquez sur Mises à jour installées et sélectionnez la mise à jour correspondante dans la liste.

Autres informations

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

  • Bruce Monroe d'Intel pour avoir signalé la vulnérabilité liée au nom de chemin d'accès incorrect du logiciel anti-programme malveillant de Microsoft (CVE-2013-0078).
  • Shai Sarfaty pour avoir signalé la vulnérabilité liée au nom de chemin d'accès incorrect du logiciel anti-programme malveillant de Microsoft (CVE-2013-0078).
  • Tony Robotham de Centrica pour avoir signalé la vulnérabilité liée au nom de chemin d'accès incorrect du logiciel anti-programme malveillant de Microsoft (CVE-2013-0078).

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Support technique

Comment obtenir de l'aide concernant cette mise à jour de sécurité

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (9 avril 2013) : Bulletin publié.
  • V1.1 (16 avril 2013) : Bulletin mis à jour pour annoncer une modification de la logique de détection dans le package 2781197 afin de corriger un problème lié à la proposition de la mise à jour. Cette modification ne concerne que la logique de détection. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.
  • V1.2 (8 octobre 2013) : Bulletin mis à jour pour annoncer une modification de la logique de détection dans le package 2781197. Cette modification ne concerne que la logique de détection. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.

Built at 2014-04-18T01:50:00Z-07:00