Actualités > Alertes

Vulnérabilité critique des systèmes Microsoft Vista, Windows server 2008 et Windows 7 RC

30 septembre 2009 11:46

8 septembre 2009. Une vulnérabilité critique a été découverte dans plusieurs versions du système d’exploitation Windows.

Mise à jour : 13 octobre 2009. L’éditeur a publié un correctif, que vous devez appliquer si vous utilisez la version vulnérable de ce logiciel.

Cette vulnérabilité affecte le service SMB, un service utilisé sur les systèmes Microsoft, postes de travail et serveurs, notamment pour partager des fichiers ou des imprimantes.

Il s’agit d’une vulnérabilité critique dans la version « SMBv2 » de ce service, présente dans les systèmes d’exploitation suivants :
Windows Vista
Windows Server 2008
Windows 7 RC (la version RTM n’est pas concernée)

Cette vulnérabilité, exploitable à distance et sans intervention de l’utilisateur, permet à l’attaquant de prendre le contrôle complet d’un ordinateur, dès lors que celui-ci est allumé et connecté à un réseau. Cette vulnérabilité représente donc une menace réelle, notamment pour les entreprises, où Windows Server 2008 est fréquemment déployé.

Mesures de contournement provisoire

* Pour les particuliers (poste individuel) :

Vous utilisez un système Windows Vista ou Windows 7 RC ?

La configuration par défaut empêche l’accès au service vulnérable. Cependant, si vous utilisez des services de partage de fichiers ou d’imprimantes, votre ordinateur peut être exposé, car cette opération ajoute automatiquement des « exceptions » aux règles par défaut du pare-feu local.

Assurez-vous que le pare-feu local est bien activé et que vous n’avez pas activé de fonction de partage de fichiers.

Dans le cas contraire – ou en cas de doute - utilisez l’outil fourni par Microsoft pour forcer l’utilisation du protocole SMBv1 en lieu et place du protocole SMBv2 sur les systèmes Vista et Server 2008 (NB : il existe un outil pour réaliser l’opération inverse).

Appliquez le correctif de sécurité

* Pour les entreprises :

Vous utilisez un réseau local comprenant des postes et/ou serveurs utilisant une version vulnérable ?

Interdisez, au niveau de vos équipements de sortie (pare-feu réseau et/ou routeur de sortie), toutes les connexions entrantes et sortantes sur les ports 139 et 445 ; cette mesure doit être systématique et rester applicable à titre de précaution après la fin de l’alerte en cours.

Adoptez une vigilance accrue vis-à-vis des éléments externes introduits sur le réseau : postes nomades, supports amovibles, etc., qui représentent pour un éventuel code malveillant autant de moyens de contournement des défenses périmétriques.

Utilisez l’outil fourni par Microsoft pour forcer l’utilisation du protocole SMBv1 en lieu et place du protocole SMBv2 sur les systèmes Vista et Server 2008 (NB : il existe un outil pour réaliser l’opération inverse).

Appliquez le correctif de sécurité

* Précisions techniques :

Le service affecté par cette vulnérabilité, SMB, est un protocole central dans les réseaux Microsoft. Il est donc difficilement désactivable ou filtrable en environnement intranet. Microsoft a mis à jour son bulletin de sécurité et propose un outil destiné à désactiver la version vulnérable, SMBv2, pour revenir à SMBv1 sur les systèmes vulnérables, ce qui semble représenter une contre-mesure fonctionnellement acceptable dans la plupart des cas.

La conséquence la plus visible de ce retour à SMBv1 est de ralentir les transferts de fichiers entre systèmes, pour les ramener à un niveau de performances comparable à celui des versions antérieures de Windows. Dès que le correctif de sécurité sera disponible et appliqué, SMBv2 pourra être réactivé.

En savoir plus sur le site du CERTA :

Lien vers le bulletin d’alerte du CERTA du 18 septembre (CERTA-2009-ALE-016)
Lien vers le bulletin d’actualité du CERTA du 18 septembre (CERTA-2009-ACT-038)

Liens vers l’éditeur Microsoft :

Outils Microsoft de désactivation (ou réactivation) de SMBv2
Bulletin de sécurité Microsoft MS07-063
Avis de sécurité Microsoft 975497 mis à jour le 17 septembre 2009