Bulletin de sécurité Microsoft MS14-006 - Important

  • Article
  • 16 minutes de lecture

Une vulnérabilité dans IPv6 pourrait permettre un déni de service (2904659)

Paru le: mardi 11 février 2014

Version: 1.0

Informations générales

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant envoyait un grand nombre de paquets IPv6 spécialement conçus à un système affecté. Pour exploiter cette vulnérabilité, le système de l'attaquant doit appartenir au même sous-réseau que le système cible.

Cette mise à jour de sécurité est de niveau « important » pour toutes les éditions en cours de support de Windows 8, Windows RT et Windows Server 2012. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont les systèmes d'exploitation affectés valident les requêtes TCP/IP. Pour obtenir plus d'informations sur la vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ».

Recommandation. La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft.

Pour les administrateurs et les installations d'entreprise, ou bien pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement, Microsoft recommande à ses clients d'appliquer cette mise à jour le plus rapidement possible à l'aide du logiciel de gestion des mises à jour ou en recherchant des mises à jour à l'aide du service Microsoft Update.

Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin.

Article de la Base de connaissances

Article de la Base de connaissances 2904659
Informations sur les fichiers Oui
Mots de passe hachés SHA1/SHA2 Oui
Problèmes connus Aucun

Logiciels concernés et non concernés

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés

Système d'exploitation Impact de sécurité maximal Indice de gravité cumulée Mises à jour remplacées
Windows 8
[Windows 8 pour systèmes 32 bits](http://www.microsoft.com/downloads/details.aspx?familyid=09e5680f-f7ca-45ec-abd2-2d126760c4f8) (2904659) Déni de service Important 2868623 dans le Bulletin [MS13-065](http://go.microsoft.com/fwlink/?linkid=314047)
[Windows 8 pour systèmes x64](http://www.microsoft.com/downloads/details.aspx?familyid=d9dc79f2-f1d0-491b-8c9c-1f70e4d05724) (2904659) Déni de service Important 2868623 dans le Bulletin [MS13-065](http://go.microsoft.com/fwlink/?linkid=314047)
Windows Server 2012
[Windows Server 2012](http://www.microsoft.com/downloads/details.aspx?familyid=2b4e5649-092d-4581-a1c4-67b670f63077) (2904659) Déni de service Important 2868623 dans le Bulletin [MS13-065](http://go.microsoft.com/fwlink/?linkid=314047)
Windows RT
Windows RT[1] (2904659) Déni de service Important 2868623 dans le Bulletin [MS13-065](http://go.microsoft.com/fwlink/?linkid=314047)
Option d'installation Server Core
[Windows Server 2012](http://www.microsoft.com/downloads/details.aspx?familyid=2b4e5649-092d-4581-a1c4-67b670f63077) (installation Server Core) (2904659) Déni de service Important 2868623 dans le Bulletin [MS13-065](http://go.microsoft.com/fwlink/?linkid=314047)
[1]Cette mise à jour est disponible via [Windows Update](http://go.microsoft.com/fwlink/?linkid=21130).

Logiciels non concernés

Système d'exploitation
Windows XP Service Pack 3
Windows XP Professionnel Édition x64 Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 Édition x64 Service Pack 2
Windows Server 2003 avec SP2 pour systèmes Itanium
Windows Vista Service Pack 2
Windows Vista Édition x64 Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows 8.1 pour systèmes 32 bits
Windows 8.1 pour systèmes x64
Windows Server 2012 R2
Windows RT 8.1
Option d'installation Server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
Windows Server 2012 R2 (installation Server Core)

Forum aux questions concernant les mises à jour

J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire?
Microsoft a testé les logiciels répertoriés dans ce bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.

Les clients qui utilisent une version antérieure de ces logiciels doivent prioritairement passer à une version en cours de support, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations à propos des Service Packs pour ces versions logicielles, consultez la page Politique de support relative aux Service Packs.

Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour obtenir des informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Lorsque vous appelez, demandez à parler au directeur commercial local de Support Premier. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.

Informations par vulnérabilité

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de février. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné
Logiciels concernés Vulnérabilité de déni de service dans le protocole TCP/IP Version 6 (IPv6) - CVE-2014-0254 Indice de gravité cumulée
Windows 8
Windows 8 pour systèmes 32 bits **Important** Déni de service **Important**
Windows 8 pour systèmes x64 **Important** Déni de service **Important**
Windows Server 2012
Windows Server 2012 **Important** Déni de service **Important**
Windows RT
Windows RT **Important** Déni de service **Important**
Option d'installation Server Core
Windows Server 2012 (installation Server Core) **Important** Déni de service **Important**

Vulnérabilité de déni de service dans le protocole TCP/IP Version 6 (IPv6) - CVE-2014-0254

Une vulnérabilité pouvant entraîner un déni de service existe dans l'implémentation Windows IPv6 de TCP/IP. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système affecté de répondre.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2014-0254.

Facteurs atténuants

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

  • Le système de l'attaquant doit appartenir au même sous-réseau que le système cible.
  • Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés. Les systèmes affectés qui autorisent tout type de connexion IP à Internet peuvent être vulnérables à ce problème.

Solutions de contournement

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

  • Désactiver Router DiscoveryProtocol
    Si Router Discovery Protocol est activé, utilisez la solution de contournement suivante pour le désactiver. Cela permettra d'empêcher des tentatives d'exploitation de la vulnérabilité de déni de service dans le protocole TCP/IP Version 6 (IPv6).

    • Exécutez la commande suivante à partir d'une invite de commandes avec privilèges élevés :

      netsh interface ipv6 set interface "InterfaceName" routerdiscovery=disabled

    Impact de cette solution de contournement. Router Discovery sera désactivé.

    Comment annuler cette solution de contournement.

    • Exécutez la commande suivante à partir d'une invite de commandes avec privilèges élevés :

      netsh interface ipv6 set interface "InterfaceName" routerdiscovery=enabled

  • Désactiver Internet Protocol version 6 (IPv6)
    Vous pouvez désactiver IPv6 sur l'hôte via la valeur de Registre DisabledComponents. La valeur de Registre DisabledComponents affecte toutes les interfaces réseau sur l'hôte. Pour plus d'informations sur la désactivation des composants IPv6, consultez l'article consacré à la procédure de désactivation d'IP version 6 ou de ses composants spécifiques dans Windows. Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour désactiver certains composants IPv6, procédez comme suit :

    1. Cliquez sur Démarrer, saisissez regedit, puis sélectionnez l'application regedit.

    2. Dans la boîte de dialogue Contrôle de compte d'utilisateur , cliquez sur Oui.

      Dans l'Éditeur du Registre, localisez puis cliquez sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

    3. Double-cliquez sur DisabledComponents pour modifier l'entrée DisabledComponents . Remarque : Si l'entrée DisabledComponents est indisponible, vous devez la créer. Pour ce faire, procédez comme suit :

      1. Dans le menu Édition, pointez sur Nouveau puis cliquez sur Valeur DWORD 32 bits.

      2. Saisissez DisabledComponents et appuyez sur ENTRÉE.

      3. Double-cliquez sur DisabledComponents.

    4. Pour désactiver toutes les interfaces IPv6 à l'exception de l'interface de bouclage IPv6, saisissez 0x11.

    Comment annuler cette solution de contournement.

    1. Cliquez sur Démarrer, saisissez regedit, puis sélectionnez l'application regedit.

    2. Dans la boîte de dialogue Contrôle de compte d'utilisateur , cliquez sur Oui.

      Dans l'Éditeur du Registre, localisez puis cliquez sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

    3. Double-cliquez sur DisabledComponents pour modifier l'entrée DisabledComponents .

    4. Saisissez 0 pour activer tous les composants IPv6.

  • Désactiver la règle de pare-feu entrant « Core Networking – Router Advertisement (ICMPv6-In) » (Gestion réseau de base – annonce de routage (ICMPv6-In))
    Pour désactiver cette règle de pare-feu, exécutez la commande suivante depuis une invite de commandes avec privilèges élevés :

    netsh advfirewall firewall set rule name="Core Networking – Router Advertisement (ICMPv6-In)" dir=in new enable=No

    Impact de cette solution de contournement. Les annonces de routage ICMPv6 seront bloquées. Ceci pourrait avoir un effet négatif sur la fonctionnalité IPv6 dans les scénarios de déploiement courants durant lesquels le protocole RDP (Router Discovery Protocol) est utilisé pour la configuration d'hôte.

    Comment annuler cette solution de contournement.

    Pour activer à nouveau cette règle de pare-feu, exécutez la commande suivante à partir d'une invite de commandes avec privilèges élevés :

    netsh advfirewall firewall set rule name="Core Networking – Router Advertisement (ICMPv6-In)" dir=in new enable=Yes

Forum aux questions

Quelle est la portée de cette vulnérabilité?
Il s'agit d'une vulnérabilité de déni de service.

Quelle est la cause de cette vulnérabilité?
Les systèmes d'exploitation affectés effectuent une validation incomplète des paquets réseau TCP/IP. Cette vulnérabilité survient lorsqu'un attaquant envoie un grand nombre de paquets d'annonce de routage IPv6 spécialement conçus sur un sous-réseau ciblé. Cette attaque peut entraîner un déni de service sur les ordinateurs appartenant au même sous-réseau.

Qu'est-ce qu'IPv6?
Internet Protocol version 6 (IPv6) est une suite de protocoles standard pour la couche réseau d'Internet, qui remplace IP version 4 (IPv4). IPv6 est inclus dans Microsoft Windows XP et versions ultérieures. IPv6 est conçue pour résoudre de nombreux problèmes d'IPv4, tels que l'épuisement des adresses disponibles, la sécurité, l'auto-configuration et l'extensibilité. Pour en savoir plus sur IPv6, consultez l'article (en anglais) consacré à IPv6 pour Microsoft : Forum aux questions.

Que signifie TCP/IP?
TCP/IP est un ensemble de protocoles réseau largement utilisés sur Internet. TCP/IP fournit des communications sur des réseaux d'ordinateurs interconnectés dotés d'architectures matérielles variées et exécutant des systèmes d'exploitation différents. TCP/IP inclut des normes régulant la communication entre les ordinateurs et des conventions régulant les connexions réseau et le routage du trafic. Pour plus d'informations à propos du TCP/IP, consultez l'article TechNet « Vue d'ensemble de la gestion de réseau et TCP/IP ».

Que sont les annonces de routage?
Les annonces de routage permettent aux routeurs de donner des instructions aux hôtes sur la manière d'exécuter l'auto-configuration d'adresses. Par exemple, les routeurs peuvent indiquer si les hôtes doivent utiliser DHCPv6 et/ou une configuration d'adresses autonome (sans état). Les routeurs publient leur présence, ainsi que divers paramètres de lien et Internet, de manière périodique, ou en réponse à un message de sollicitation de routeur. Les annonces de routage contiennent des préfixes qui sont utilisés pour déterminer si une autre adresse partage le même lien (détermination de présence sur lien) et/ou la même configuration d'adresse, une limite suggérée du nombre de hops, etc. Pour plus d'informations à propos des annonces de routage et de la découverte des voisins dans IPv6, consultez le RFC 4861.

Que pourrait faire un attaquant en exploitant cette vulnérabilité?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait empêcher les systèmes affectés de répondre.

Comment un attaquant pourrait-il exploiter cettevulnérabilité?
Un attaquant pourrait exploiter cette vulnérabilité en créant un grand nombre de paquets IPv6 spécialement conçus et en envoyant ces paquets à des systèmes affectés sur un sous-réseau. Ces paquets pourraient forcer les services affectés à cesser de répondre.

Quels sont les systèmes les plus exposés à cette vulnérabilité?
Tous les systèmes d'exploitation affectés sont exposés à cette vulnérabilité.

Que fait cette mise à jour?
Cette mise à jour élimine cette vulnérabilité en modifiant la façon dont les systèmes d'exploitation concernés valident les requêtes TCP/IP.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement?
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2014-0254.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité?
Non. Lors de la première publication de ce Bulletin, Microsoft avait vu des exemples et des preuves de la publication d'un tel code, mais n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients utilisant IPv6.

Informations concernant la mise à jour

Outils de détection, de déploiement et Conseils

Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité.

  • Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité courantes sur les systèmes locaux et distants.
  • Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aident les administrateurs à distribuer les mises à jour de sécurité.
  • Les composants d'évaluation de la compatibilité des mises à jour (Update Compatibility Evaluator) inclus avec les outils d'analyse de compatibilité des applications (Application Compatibility Toolkit) contribuent à rationaliser le test et la validation des mises à jour Windows en fonction des applications installées.

Pour obtenir des informations sur ces ressources et d'autres outils disponibles, consultez la page « Outils de sécurité ».

Déploiement de la mise à jour de sécurité

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :

Windows 8 (toutes éditions)

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel.

Nom de fichier de la mise à jour de sécurité Pour toutes les éditions 32 bits en cours de support de Windows 8 :
Windows8-RT-KB2904659-x86.msu
Pour toutes les éditions x64 en cours de support de Windows 8 :
Windows8-RT-KB2904659-x64.msu
Options d'installation Consultez l'Article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Oui, vous devez redémarrer votre système après avoir appliqué cette mise à jour de sécurité.
Informations de désinstallation Pour désinstaller une mise à jour installée par WUSA, utilisez l'option d'installation /Uninstall ou cliquez sur Panneau de configuration, Système et sécurité, Windows Update, puis, sous Voir aussi, cliquez sur Mises à jour installées et sélectionnez la mise à jour souhaitée dans la liste.
Informations sur les fichiers Consultez l'Article 2904659 de la Base de connaissances Microsoft.
Vérification de la clé de Registre Remarque : Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.
#### Windows Server 2012 (toutes éditions) **Tableau de référence** Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel.

Nom de fichier de la mise à jour de sécurité Pour toutes les éditions de Windows Server 2012 en cours de support :
Windows8-RT-KB2904659-x64.msu
Options d'installation Consultez l'Article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Oui, vous devez redémarrer votre système après avoir appliqué cette mise à jour de sécurité.
Informations de désinstallation Pour désinstaller une mise à jour installée par WUSA, utilisez l'option d'installation /Uninstall ou cliquez sur Panneau de configuration, Système et sécurité, Windows Update, puis, sous Voir aussi, cliquez sur Mises à jour installées et sélectionnez la mise à jour souhaitée dans la liste.
Informations sur les fichiers Consultez l'Article 2904659 de la Base de connaissances Microsoft.
Vérification de la clé de Registre Remarque : Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.
#### Windows RT (toutes éditions) Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. | | | |-------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | **Déploiement** | Ces mises à jour sont disponibles via [Windows Update](http://go.microsoft.com/fwlink/?linkid=21130) uniquement. | | **Nécessitéde redémarrer** | Oui, vous devez redémarrer votre système après avoir appliqué cette mise à jour de sécurité. | | **Informations de désinstallation** | Cliquez sur **Panneau de configuration**, puis sur **Système et sécurité** et **Windows Update**, puis, sous Voir aussi, cliquez sur **Mises à jour installées** et sélectionnez la mise à jour correspondante dans la liste. | | **Informations sur les fichiers** | Consultez l'[Article 2904659 de la Base de connaissances Microsoft](https://support.microsoft.com/kb/2904659/en-us). | ### Autres informations #### Microsoft Active Protections Program (MAPP) Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page [Microsoft Active Protections Program (MAPP) Partners](http://go.microsoft.com/fwlink/?linkid=215201) (en anglais). #### Support technique **Comment obtenir de l'aide concernant cette mise à jour de sécurité** - Aide à l'installation des mises à jour : [Support pour Microsoft Update](http://support.microsoft.com/ph/6527) - Solutions de sécurité pour professionnels de l'informatique : [Support technique et résolution des problèmes de sécurité TechNet](http://technet.microsoft.com/security/bb980617.aspx) - Protégez votre ordinateur Windows des virus et des logiciels malveillants : [Aide et Support pour les problèmes de virus et de sécurité](http://support.microsoft.com/contactus/cu_sc_virsec_master) - Support local selon votre pays : [Support international](http://support.microsoft.com/common/international.aspx) #### Dédit de responsabilité Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner. #### Révisions - V1.0 (11 février 2014) : Bulletin publié. *Built at 2014-04-18T01:50:00Z-07:00*