Bulletin de sécurité

Bulletin de sécurité Microsoft MS03-010 - Important

La faille dans le mappeur de point de terminaison RPC pourrait autoriser les attaques par déni de service (331953)

Publication : 26 mars 2003 | Mise à jour : 13 mai 2003

Version : 1.1

Publication initiale : 26 mars 2003
Mise à jour : 13 mai 2003

Résumé

Qui devez lire ce bulletin : Clients utilisant Microsoft® Windows® NT 4.0, Windows 2000 ou Windows XP

Impact de la vulnérabilité : déni de service

Niveau de gravité maximal : important

Recommandation : Les clients doivent installer le correctif au plus tôt

Logiciels affectés :

• Microsoft Windows NT 4
• Microsoft Windows 2000
• Microsoft Windows XP

Informations générales

Détails techniques

Description technique :

Remarque :

L’application de ce correctif de sécurité a été signalée dans certaines configurations spécifiques, ce qui entraîne l’arrêt des appels COM locaux. Ce problème se produit uniquement lorsque plusieurs appels RPC locaux sont effectués rapidement à partir de plusieurs threads, et chaque thread a un ensemble unique d’informations d’identification de sécurité. Un correctif pris en charge est désormais disponible auprès de Microsoft. Pour plus d’informations sur ce problème et des détails sur l’obtention d’un correctif, consultez l’article de la Base de connaissances Microsoft 814119.

Remote Procedure Call(RPC) est un protocole utilisé par le système d’exploitation Windows. RPC fournit un mécanisme de communication interprocessus qui permet à un programme s’exécutant sur un ordinateur d’exécuter en toute transparence du code sur un système distant. Le protocole lui-même est dérivé du protocole RPC OSF (Open Software Foundation), mais avec l’ajout de certaines extensions spécifiques à Microsoft.

Il existe une vulnérabilité dans la partie rpc qui traite de l’échange de messages via TCP/IP. L’échec résulte d’une gestion incorrecte des messages mal formés. Cette vulnerabilty particulière affecte le processus rpc Endpoint Mapper, qui écoute sur le port TCP/IP 135. Le mappeur de point de terminaison RPC permet aux clients RPC de déterminer le numéro de port actuellement affecté à un service RPC particulier.

Pour exploiter cette vulnérabilité, un attaquant doit établir une connexion TCP/IP au processus Endpoint Mapper sur un ordinateur distant. Une fois la connexion établie, l’attaquant commence la négociation de connexion RPC avant de transmettre un message incorrect. À ce stade, le processus sur l’ordinateur distant échouerait. Le processus de mappeur de point de terminaison RPC est responsable de la maintenance des informations de connexion pour tous les processus sur cet ordinateur à l’aide de RPC. Étant donné que le mappeur de points de terminaison s’exécute au sein du service RPC lui-même, l’exploitation de cette vulnérabilité entraîne l’échec du service RPC, avec la perte de tout service RPC proposé par le serveur, ainsi que la perte potentielle de certaines fonctions COM.

Microsoft a fourni des correctifs à ce bulletin pour corriger cette vulnérabilité pour Windows 2000 et Windows XP. Bien que Windows NT 4.0 soit affecté par cette vulnérabilité, Microsoft ne peut pas fournir de correctif pour cette vulnérabilité pour Windows NT 4.0. Les limitations architecturales de Windows NT 4.0 ne prennent pas en charge les modifications qui seraient nécessaires pour supprimer cette vulnérabilité. Les utilisateurs de Windows NT 4.0 sont vivement encouragés à utiliser la solution de contournement décrite dans le FAQ ci-dessous, qui consiste à protéger le système NT 4.0 avec un pare-feu qui bloque le port 135.

Facteurs d’atténuation :

• Pour exploiter cette vulnérabilité, l’attaquant aurait besoin de la possibilité de se connecter au mappeur de point de terminaison s’exécutant sur l’ordinateur cible. Pour les environnements intranet, le mappeur de points de terminaison serait normalement accessible, mais pour les machines connectées à Internet, le port utilisé par le mappeur de point de terminaison serait normalement bloqué par un pare-feu. Dans le cas où ce port n’est pas bloqué ou dans une configuration intranet, l’attaquant ne nécessite pas de privilèges supplémentaires.
• Les meilleures pratiques recommandent de bloquer tous les ports TCP/IP qui ne sont pas réellement utilisés. Pour cette raison, la plupart des machines attachées à Internet doivent avoir le port 135 bloqué. RPC sur TCP n’est pas destiné à être utilisé dans des environnements hostiles tels que l’Internet. Des protocoles plus robustes tels que RPC sur HTTP sont fournis pour les environnements hostiles. Pour en savoir plus sur la sécurisation de RPC pour le client et le serveur, reportez-vous à https://msdn2.microsoft.com/library/Aa379441. Pour en savoir plus sur les ports utilisés par RPC, reportez-vous à https :
• Cette vulnérabilité autorise uniquement une attaque par déni de service et ne fournit pas à un attaquant la possibilité de modifier ou de récupérer des données sur l’ordinateur distant.

Évaluation de gravité :

Windows NT 4.0	Important
Windows NT 4.0, Terminal Server Edition	Important
Windows 2000	Important
Windows XP	Important

L’évaluation ci-dessus est basée sur les types de systèmes affectés par la vulnérabilité, leurs modèles de déploiement classiques et l’effet que l’exploitation de la vulnérabilité aurait sur eux.

Identificateur de vulnérabilité :CAN-2002-1561

Versions testées :

Microsoft a testé Windows NT 4.0, Windows 2000 et Windows XP pour évaluer s’ils sont affectés par ces vulnérabilités. Les versions précédentes ne sont plus prises en charge et peuvent ou non être affectées par ces vulnérabilités.

Forum aux questions

Si Windows NT 4.0 est répertorié en tant que produit affecté, pourquoi Microsoft n’émet-il pas de correctif pour celui-ci ?
Au cours du développement de Windows 2000, des améliorations significatives ont été apportées à l’architecture sous-jacente de RPC. Dans certains domaines, ces changements impliquent des modifications fondamentales sur la façon dont le logiciel serveur RPC a été créé. L’architecture Windows NT 4.0 est beaucoup moins robuste que l’architecture Windows 2000 la plus récente, en raison de ces différences fondamentales entre Windows NT 4.0 et Windows 2000 et ses successeurs, il est impossible de reconstruire le logiciel pour Windows NT 4.0 afin d’éliminer la vulnérabilité. Pour ce faire, il faudrait réarchitecturer une quantité très importante du système d’exploitation Windows NT 4.0, et pas seulement le composant RPC affecté. Le produit d’un tel effort de réarchitecture serait suffisamment incompatible avec Windows NT 4.0 qu’il n’y aurait aucune assurance que les applications conçues pour s’exécuter sur Windows NT 4.0 continueraient à fonctionner sur le système corrigé. Microsoft recommande vivement aux clients qui utilisent toujours Windows NT 4.0 de protéger ces systèmes en les plaçant derrière un pare-feu qui filtre le trafic sur le port 135. Un tel pare-feu bloque les attaques qui tentent d’exploiter cette vulnérabilité, comme indiqué dans la section solutions de contournement ci-dessous.

Microsoft émettra-t-il un correctif pour Windows NT 4.0 à l’avenir ?
Microsoft a largement étudié une solution d’ingénierie pour NT 4.0 et a constaté que l’architecture De Windows NT 4.0 ne prendra pas en charge un correctif à ce problème, maintenant ou à l’avenir.

Quelle est l’étendue de cette vulnérabilité ?
Il s’agit d’une vulnérabilité de déni de service . Un attaquant qui a réussi à exploiter cette vulnérabilité peut entraîner l’échec d’un ordinateur distant. Toutefois, l’attaquant n’a pas pu modifier ou récupérer des données ou exécuter du code de son choix sur l’ordinateur distant. Pour effectuer une telle attaque, un attaquant aurait besoin de la possibilité d’établir une connexion TCP/IP au mappeur de point de terminaison s’exécutant sur l’ordinateur cible. Une fois qu’une connexion TCP a été établie, l’attaquant peut envoyer un message incorrect au service RPC et provoquer ainsi l’échec de l’ordinateur cible. La meilleure défense contre les attaques RPC distantes à partir d’Internet consiste à configurer le pare-feu pour bloquer le port 135. RPC sur TCP n’est pas destiné à être utilisé dans des environnements hostiles tels que Internet

Quelles sont les causes de la vulnérabilité ?
Les résultats de la vulnérabilité, car le mappeur de point de terminaison RPC Windows n’case activée pas correctement les entrées de message dans certaines circonstances. Si un attaquant devait envoyer un certain type de message RPC incorrect après l’établissement d’une connexion RPC, ce qui pourrait entraîner l’échec du processus rpc Endpoint Mapper sur l’ordinateur distant. Ce processus est responsable de la maintenance des informations de connexion de tous les processus sur cet ordinateur à l’aide de RPC. Étant donné que le mappeur de point de terminaison s’exécute dans le service RPC lui-même, l’exploitation de cette vulnérabilité entraînerait l’échec du service RPC lui-même, avec la perte de tout service RPC que le serveur offre, ainsi que la perte potentielle de certaines fonctions COM.

Qu’est-ce que RPC (appel de procédure distante) ?
L’appel de procédure distante (RPC) est un protocole qu’un programme peut utiliser pour demander un service à partir d’un programme situé sur un autre ordinateur d’un réseau. RPC aide à l’interopérabilité, car le programme utilisant RPC n’a pas besoin de comprendre les protocoles réseau qui prennent en charge la communication. Dans RPC, le programme demandeur est le client et le programme fournisseur de services est le serveur.

Qu’est-ce que le mappeur de point de terminaison RPC ?
Le mappeur de point de terminaison RPC permet aux clients RPC de déterminer le numéro de port actuellement affecté à un service RPC particulier. Un point de terminaison est un port de protocole ou un canal nommé sur lequel l’application serveur écoute les appels de procédure distante du client. Les applications client/serveur peuvent utiliser des ports connus ou dynamiques.

Qu’est-ce qui ne va pas avec l’implémentation de l’appel de procédure distante (RPC) de Microsoft ?
Il existe une faille dans la partie de RPC qui traite de l’échange de messages via TCP/IP. Un échec se produit en raison d’une gestion incorrecte des messages mal formés. Cet échec particulier affecte le processus rpc Endpoint Mapper, qui écoute sur le port TCP/IP 135. Le mappeur de point de terminaison RPC permet aux clients RPC de déterminer le numéro de port actuellement affecté à un service RPC particulier. En envoyant un message RPC mal formé, un attaquant peut le service RPC sur un ordinateur échouer.

Qu’est-ce que cette vulnérabilité peut permettre à un attaquant de faire ?
Cette vulnérabilité peut permettre à un attaquant qui peut envoyer des messages RPC au processus rpc Endpoint Mapper sur un serveur pour lancer une attaque par déni de service. Même si un attaquant peut entraîner l’échec des machines, il n’est pas possible de modifier ou de récupérer des données ou d’exécuter du code.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Un attaquant peut tenter d’exploiter cette vulnérabilité en programmant une machine qui peut communiquer avec un serveur vulnérable via le port TCP 135 pour envoyer un type spécifique de message RPC incorrect. La réception d’un tel message peut entraîner l’échec du service RPC sur l’ordinateur vulnérable.

Que fait le correctif ?
Le correctif élimine la vulnérabilité en vérifiant correctement le format des messages reçus via TCP/IP. Cette vérification permet au mappeur de point de terminaison RPC de rejeter les messages mal formés.

Solutions

Je ne parviens pas à installer le correctif pour cette vulnérabilité immédiatement. Y a-t-il quelque chose que je peux faire pour me protéger contre les tentatives d’exploitation de cette vulnérabilité ?
Microsoft recommande les solutions de contournement suivantes :

• BlockPort 135 sur votre pare-feu. Le port 135 est utilisé pour lancer une connexion RPC avec le service Rpc Endpoint Mapper. Le blocage du port 135 sur le pare-feu empêche les systèmes derrière ce pare-feu d’être attaqués par des tentatives d’exploitation de cette vulnérabilité. Toutefois, pour vous assurer que ces systèmes ne peuvent pas être attaqués par des systèmes derrière le pare-feu, vous devez toujours envisager d’appliquer le correctif.
• Pare-feu Internet Connecter ion. Si vous utilisez le pare-feu Internet Connecter ion dans Windows XP pour protéger votre connexion Internet, il bloque par défaut le trafic RPC entrant.

Disponibilité des retouches

Télécharger les emplacements de ce correctif

• Microsoft Windows 2000
  • Tout sauf japonais NEC
  • NEC japonais
• Windows XP
  • Édition 32 bits
  • Édition 64 bits

Informations supplémentaires sur ce correctif

Plateformes d’installation :

• Le correctif Windows 2000 peut être installé sur des systèmes exécutant Windows 2000 Service Pack 2 ou Service Pack 3
• Le correctif pour Windows XP peut être installé sur les systèmes exécutant Windows XP Gold ou Service Pack 1.

Inclusion dans les service packs futurs :

Le correctif de ce problème sera inclus dans Service Pack 4 pour Windows 2000 et Service Pack 2 pour Windows XP

Redémarrage nécessaire : Oui

Le correctif peut être désinstallé : oui

Correctifs remplacés : Aucun.

Vérification de l’installation des correctifs :

• Windows 2000 :

  Pour vérifier que le correctif a été installé sur l’ordinateur, vérifiez que la clé de Registre suivante a été créée sur l’ordinateur : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Windows 2000\SP4\ Q331953

  Pour vérifier les fichiers individuels, utilisez les informations de date/heure et de version fournies dans la clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Windows 2000\SP4\ Q331953\Filelist.

• Windows XP :

  • S’il est installé sur Windows XP Gold :

    Pour vérifier que le correctif a été installé, vérifiez que la clé de Registre suivante a été créée sur l’ordinateur : HKLM\Software\Microsoft\Mises à jour\Windows XP\SP1\Q331953.

    Pour vérifier les fichiers individuels, utilisez les informations de date/heure et de version fournies dans la clé de Registre suivante : HKLM\Software\Microsoft\Mises à jour\Windows XP\SP1\ Q331953\Filelist.

  • S’il est installé sur Windows XP Service Pack 1 :

    Pour vérifier que le correctif a été installé, vérifiez que la clé de Registre suivante a été créée sur l’ordinateur : HKLM\Software\Microsoft\Mises à jour\Windows XP\SP2\Q331953.

    Pour vérifier les fichiers individuels, utilisez les informations de date/heure et de version fournies dans la clé de Registre suivante : HKLM\Software\Microsoft\Mises à jour\Windows XP\SP2\Q331953\Filelist.

Avertissements :

Microsoft a testé Windows NT 4.0 et Windows NT 4.0 Terminal Server Edition. Ces plateformes sont vulnérables à l’attaque par déni de service, mais en raison de limitations architecturales, il est impossible de reconstruire le logiciel pour Windows NT 4.0 afin d’éliminer la vulnérabilité.

L’application de ce correctif de sécurité a été signalée dans certaines configurations spécifiques, ce qui entraîne l’arrêt des appels COM locaux. Ce problème se produit uniquement lorsque plusieurs appels RPC locaux sont effectués rapidement à partir de plusieurs threads, et chaque thread a un ensemble unique d’informations d’identification de sécurité. Un correctif pris en charge est désormais disponible auprès de Microsoft. Pour plus d’informations sur ce problème et des détails sur l’obtention d’un correctif, consultez l’article de la Base de connaissances Microsoft 814119.

Localisation :

Les versions localisées de ce correctif sont disponibles aux emplacements décrits dans « Disponibilité des correctifs ».

Obtention d’autres correctifs de sécurité :

Les correctifs pour d’autres problèmes de sécurité sont disponibles à partir des emplacements suivants :

• Les correctifs de sécurité sont disponibles à partir du Centre de téléchargement Microsoft et sont facilement trouvés en effectuant une recherche mot clé pour « security_patch ».
• Les correctifs pour les plateformes grand public sont disponibles à partir du site web WindowsUpdate

Informations supplémentaires :

Accusés de réception

Microsoft remerciejussi jaakonaho de signaler ce problème à nous et de travailler avec nous pour protéger les clients.

Support :

• L’article de la Base de connaissances Microsoft 331953 traite de ce problème. Vous trouverez les articles de la Base de connaissances sur le site web du support microsoft Online.
• Le support technique est disponible auprès des services de support technique Microsoft. Il n’y a aucun frais pour les appels de support associés aux correctifs de sécurité.

Ressources de sécurité : Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

• V1.0 (26 mars 2003) : Bulletin créé.
• V1.1 (13 mai 2003) : Bulletin mis à jour pour inclure des informations et un lien vers l’article de la Base de connaissances Microsoft 814119, pour les clients qui rencontrent des problèmes techniques après l’installation de ce correctif.

Construit à 2014-04-18T13 :49 :36Z-07 :00</https :>