> Tech > Correctifs et patchs du SP6a

Correctifs et patchs du SP6a

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Après la mise à  jour vers le SP6a il faut appliquer trois correctifs : le correctif Remote Access Service Manager, le correctif Winlogon (qui corrige un problème de déconnexion sporadique risquant fortement de mettre à  bout de nerfs les utilisateurs finaux) et le correctif de sécurité C2. Il faut aussi

Correctifs et patchs du SP6a

appliquer la correction
de sécurité Syskey and Local Security Authority (LSA), qui élimine les atteintes
connues à  la sécurité. Les URL pour télécharger ces trois correctifs et la mise
à  jour de la sécurité LSA Vulnerability se trouvent dans l’encadré  » Les URL des
correctifs post-SP6a recommandés « .

Le correctif Remote Access Service Manager. Microsoft a sorti le correctif Rasmanfix
juste avant la sortie du SP6 et n’a donc pas pu l’inclure dans le SP6 ou le SP6a.
Rasman-fix modifie l’ACL de rasman.exe pour empêcher un utilisateur sans privilège
de substituer un autre fichier exécutable à  rasman.exe. Comme Rasman s’exécute
dans le contexte du système, cette situation présente une faille de sécurité à 
laquelle ce correctif peut remédier.

Le correctif Winlogon. Après la mise à  jour vers le SP6a, il peut se produire
un problème lors de la sélection de l’option Fermeture de session dans le menu
Démarrer.
Dans certains cas – en particulier lorsque des programmes sont en cours d’exécution
– l’écran devient gris et le curseur de la souris garde indéfiniment la forme
d’un sablier. Selon Microsoft, ce sont les modifications de la version SP6a de
Winlogon qui provoquent le problème de déconnexion. Pour éviter ce comportement,
utilisez la combinaison de touche Ctrl+Alt+Del et cliquez sur Déconnexion dans
la fenêtre de sécurité de Windows NT. Le correctif Winlogon corrige le problème
et représente une mise à  jour importante pour les stations de travail NT.

Le correctif de sécurité C2. Si vous exécutez un utilitaire de sécurité C2, vous
devez télécharger le correctif de sécurité q244599i.exe. (L’URL se trouve dans
l’encadré  » Les URL des correctifs post-SP6a recommandés « ). Le correctif C2 restreint
l’accès aux objets NT conformément aux trois impératifs de sécurité C2 :

· Ports TCP et UDP. Les impératifs de la sécurité C2 exigent qu’une application
en mode utilisateur non privilégié ne puisse pas écouter les ports TCP utilisés
par les services NT, quelle que soit la protection cryptographique appliquée au
trafic des services NT utilisant ces ports. Il s’agit du port TCP 137 et des ports
UDP 138 et 139. Dans Le SP6a et les versions antérieures, les applications non
privilégiées peuvent accéder à  ces ports grâce à  des appels à  la fonction API
ZwCreateFile dans netbt.sys.
Le correctif post-SP6a permet de modifier le comportement de netbt.sys de façon
à  empêcher netbt.sys de permettre l’accès au partage de fichiers à  ces ports.
L’article de Microsoft  » Enabling NetBT to Open IP Ports Exclusively  » (http://support.microsoft.com/support/kb/articles/q241/0/41.asp)
explique le chemin du Registre et les valeurs des données utilisés par le correctif
pour désactiver l’accès non privilégié à  ces ports TCP et UDP.

· Objets Jet500. WINS et DHCP utilisent le moteur de la base de données Jet500
pour gérer leurs bases de données. Le fichier jet500.dll crée plusieurs objets
(par exemple événements, sémaphores, mutexes) qui gèrent la synchronisation entre
plusieurs instances du fichier .dll et ces objets par défaut n’ont pas de contrôles
d’accès. Le correctif C2 restreint l’accès des objets Jet500 aux membres du groupe
Administrateurs.
Vous pouvez consulter d’autres documentations sur les objets affectés dans l’article
de Microsoft  » Winobj.exe May Permit You to View Securable Objects Created or
Opened by the Jet500.dll File  » (http://support.microsoft.com/support/kb/articles/q243/4/04.asp).

· Objets pilotes de périphériques. Si un driver ouvre un périphérique et transmet
une longueur de nom de fichier de zéro, ou si le chemin contient un anti-slash
de fin, plusieurs pilotes natifs contournent les contrôles de sécurité standards
dans l’appel ouvert.
Le correctif C2 installe les nouvelles versions de sept pilotes NT qui suivent
les directives de la procédure ouverte sécurisée : beep.sys, floppy.sys, netdetect.sys,
paraport.sys, null.sys, tcpip.sys et scsiport.sys.

La correction Syskey et LSA. La fonction LsaLookupSids() renvoie le SID associé
à  un compte d’utilisateur ou de groupe. Dans certains cas elle ne traite pas correctement
les arguments invalides ou contradictoires et altère par conséquent la copie en
cours d’exécution de la LSA. La LSA assure des services de sécurité pour NT en
authentifiant les requêtes de logon, en vérifiant les privilèges des utilisateurs,
en déterminant si les utilisateurs peuvent obtenir l’accès aux ressources et en
surveillant l’audit de la sécurité.

Cette vulnérabilité rend essentiellement un système inutile puisque la LSA altérée
refuse toutes les requêtes de services.Lorsqu’un utilisateur fait une requête
de service qui appelle LsaLookupSids(), NT effectue un contrôle de sécurité pour
vérifier les privilèges de l’utilisateur avant de satisfaire à  la requête. La
vulnérabilité ne laisse personne contourner le contrôle de sécurité.
Mais l’ordinateur s’arrête de répondre avant de procéder à  la vérification, et
tout utilisateur – quels que soient les privilèges – peut émettre cet appel et
arrêter les réponses de la LSA. Si vous rencontrez une altération de la LSA et
que votre système s’arrête, réinitialisez pour charger une copie de travail propre
de la LSA. Cette vulnérabilité laisse un trou béant et je recommande donc d’acquérir
et de tester cette correction de sécurité (c’est-à -dire q248183.exe) dès que possible.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT