Microsoft publie un correctif d'urgence pour Windows Server
Et recommande son installation immédiate

Le , par Hinault Romaric

21PARTAGES

3  0 
Une semaine seulement après la publication du Patch Tuesday pour le mois de novembre 2014, Microsoft annonce la sortie d’un nouveau correctif de sécurité d’urgence pour son système d’exploitation Windows Server.

Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.

En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.

La mise à jour sera disponible via Windows Update.

Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.

Source : Microsoft

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 12:16
Deux choses:
Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
Comment sont ils avertis de l'exploitation d'une faille ?

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.
D'un coté c'est très grave, urgent à corriger, de l'autre il faut attendre mardi prochain pour avoir une correction
1  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 19/11/2014 à 14:39
Citation Envoyé par Hinault Romaric Voir le message
Microsoft publie un correctif d’urgence pour Windows Server
et recommande une installation immédiate

Une semaine seulement après la publication du Patch Tuesday pour le mois de novembre 2014, Microsoft annonce la sortie d’un nouveau correctif de sécurité d’urgence pour son système d’exploitation Windows Server.

Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.

En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.

La mise à jour sera disponible via Windows Update.

Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.

Source : Microsoft
@Hinault Romaric
Bon c'est sûr que c'est plus clair que mon message qui disait la même chose mais en plus condensé .

@imikado :
Le bogue dans le système d'authentification Kerberos n'est pas facilement exploitable depuis les Windows Desktop si j'ai bien compris. Du coup, il patch plutôt par principe de défense en profondeur.

@+
1  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 15:49
Merci de la précision
0  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 19/11/2014 à 15:53
Citation Envoyé par imikado Voir le message
Merci de la précision
Et pour ça :

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
Je pense qu'un cabinet d'audit a dû faire un peu de forensic et se rendre compte que cette faille a été exploitée... Puis prévenir Microsoft.
Pour le coup je ne vois pas comment il pourrait savoir autrement.

@+
0  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 16:22
1. c'est quoi forensic ?
2. les cabinets d'audit communiquent sur les failles exploitées aux éditeurs ?
0  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 19/11/2014 à 16:48
Citation Envoyé par imikado Voir le message
1. c'est quoi forensic ?
2. les cabinets d'audit communiquent sur les failles exploitées aux éditeurs ?
1 - Le forensic c'est de l'investigation effectué par des pentesteurs dans le cadre d'audit de vuln ou d'audit sécu. Pas facile à définir, enfin je trouve pas les bons mots. Mais tu peux mieux comprendre en regardant le contenu d'une formation forensic ici. D'ailleurs c'est un très bon organisme pour la formation en sécu' !
2- C'est une théorie ce que j'ai écris au dessus. Mais pourquoi est-ce qu'il ne communiquerais pas les failles ?
Cabinets d'audits et éditeurs travaillent ensemble.

Tiens regardes...

Microsoft credited Qualcomm's information security and risk management team for reporting the vulnerability, and called out Qualcomm cyber security engineer Tom Maddock in particular for his help.
Source : http://www.computerworld.com/
0  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 16:52
Ok, merci de l'info
0  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 07/12/2014 à 11:17
L'ultime Patch Tuesday de 2014 comportera 7 bulletins de sécurité,
Microsoft aura colmaté moins de failles critiques cette année

Bientôt la fin de l’année et Microsoft se prépare pour son dernier Patch Tuesday de 2014 en annonçant 7 bulletins de sécurité dont 3 sont répertoriés comme étant critiques. Un patch Tuesday relativement léger (d’ailleurs le plus léger depuis septembre) qui colmatera des failles sur Internet Explorer, Windows, Office, SharePoint mais également Exchange Server Office.

L’une des trois failles critiques concerne l’ensemble des versions d’Internet Explorer. Le navigateur web de Redmond aura été corrigé presque systématiquement tous les mois de cette année 2014. Les versions concernées sont IE7, IE8, IE9, IE10 et IE11 tournant sur les plateformes Windows Vista, Windows 7 ainsi que Windows 8/8.1. L’éditeur indique que la Technical Preview de Windows 10 est également affectée, les utilisateurs sont donc invités à mettre à jour leur produit. Cette faille est répertoriée comme étant modérée sur les versions serveur.

La seconde faille critique concerne Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008. Elle est cataloguée comme étant critique sur les versions desktop mais modérée sur les serveurs.

Quant à la troisième faille critique, elle affecte la suite bureautique Microsoft Office. Il est question ici de toutes les déclinaisons de l’outil de traitement de texte Word à partir de 2007 jusqu’en 2013, la version 2011 de Mac comprise. Wolfgang Kandek, Directeur Technique chez Qualys, remarque que « si les bulletins critiques sont à installer en priorité, celui sur Word est intéressant, car il touche l’ensemble des éditions et, fait rare, il s’adresse à la version 2011 pour Mac ».

Les quatre autres correctifs sont classés comme étant importants. Parmi elles, deux viendront colmater des failles dans toutes les éditions d’Office sur des systèmes x86 ou x64, un s’occupera de toutes les versions de Microsoft Exchange à partir de 2007 et une corrigera une vulnérabilité de divulgation d’informations dans toutes les versions de Windows y compris les serveurs.

Comme à l’accoutumée, Microsoft va publier une nouvelle version de son outil MSRT (Malicious Removal Tool Software) et en profitera probablement pour publier un certain nombre de mises à jour qui ne concernent pas la sécurité.

En somme, cette année Microsoft aura délivré 83 bulletins de sécurité contre 105 en 2013, soit une baisse de 22 bulletins de sécurité qui s’observe également dans les bulletins classés comme critiques ; 29 cette année contre 42 en 2013.

Source : blog TechNet
1  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 07/12/2014 à 13:47
Avec l'unification prévu pour W10, on aura également des patch tuesday pour nos tablettes/smartphones et xbox one ?
0  0 
Avatar de CeluiQuiCode
Membre régulier https://www.developpez.com
Le 07/12/2014 à 16:31
Ca me paraitrait logique, oui
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web