Vulnérabilité d’usurpation d’identité dans Microsoft Windows Transport Layer Security
CVE-2019-1318
Security Vulnerability
Date de publication : 8 oct. 2019
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2019-1318
- Impact
- Usurpation didentité
- Gravité max.
- Important
- CVSS Source
- Microsoft
- Chaîne vectorielle
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L/E:P/RL:O/RC:C
- Metrics
- CVSS:3.1 7.7 / 6.9Métriques de score de base : 7.7 / Métriques de score temporel : 6.9
Metric
Value
Métriques de score de base(8)
Vecteur d’attaque
Cette métrique indique le contexte dans lequel l’exploitation de la vulnérabilité est possible. Le score de base augmente en fonction de la distance (logique et physique) d’un attaquant nécessaire pour l’exploitation du composant vulnérable.
Locale
Le composant vulnérable n’est pas lié à la pile réseau, et le chemin de l’attaquant repose sur des fonctionnalités de lecture/écriture/exécution. L’attaquant exploite la vulnérabilité en accédant au système cible localement (clavier ou console, par exemple) ou à distance (SSH, par exemple), ou il attend l’intervention d’un utilisateur lui permettant d’effectuer les actions requises pour exploiter la vulnérabilité (par exemple, inciter un utilisateur légitime à ouvrir un document malveillant).
Complexité d’attaque
Cette métrique décrit les conditions que l’attaquant ne maîtrise pas et qui doivent être présentes pour que la vulnérabilité puisse être exploitée. Ces conditions peuvent nécessiter la collecte d’informations supplémentaires sur la cible ou les exceptions de calcul. L’évaluation de cette métrique exclut la nécessité d’une intervention de l’utilisateur pour permettre l’exploitation de la vulnérabilité. Si une configuration particulière est nécessaire à la réussite d’une attaque, les métriques de base doivent être évaluées en supposant que le composant vulnérable présente cette configuration.
Élevée
Une attaque réussie dépend de conditions que l’attaquant ne maîtrise pas. En effet, il devrait effectuer certaines tâches de préparation ou d’exécution sur le composant vulnérable. Par exemple, un attaquant devrait recueillir des informations sur l’environnement dans lequel la cible ou le composant vulnérable est présent, préparer l’environnement cible pour améliorer la fiabilité du code malveillant ou s’immiscer dans le chemin réseau logique entre la cible et la ressource demandée par la victime pour pouvoir lire et/ou modifier les communications réseau (par exemple, attaque de l’intercepteur).
Privilèges requis
Cette métrique décrit le niveau de privilèges qu’un attaquant doit avoir pour pouvoir exploiter la vulnérabilité.
Faible
L’attaquant est autorisé avec (nécessite) des privilèges qui fournissent des fonctionnalités utilisateur de base pouvant normalement toucher uniquement les paramètres et les fichiers détenus par un utilisateur. Sinon, un attaquant à faibles privilèges pourrait provoquer un impact pour des ressources non sensibles uniquement.
Intervention de l’utilisateur
Cette métrique indique la nécessité pour un utilisateur, autre que l’attaquant, de participer au piratage du composant vulnérable. Elle détermine si la vulnérabilité peut être exploitée uniquement par l’attaquant, ou si un autre utilisateur (ou un processus initié par un utilisateur) doit intervenir d’une manière ou d’une autre.
Aucune
Le système vulnérable peut être exploité sans intervention de l’utilisateur.
Étendue
Une attaque réussie a-t-elle un impact sur un autre composant que le composant vulnérable ? Le cas échéant, le score de base augmente et les métriques de confidentialité, d’intégrité et d’authentification doivent être évaluées par rapport au composant impacté.
Modifiée
Une vulnérabilité exploitée peut toucher les ressources en dehors de l’étendue de sécurité gérée par l’autorité de sécurité du composant vulnérable. Dans ce cas, le composant vulnérable et le composant impacté sont différents et gérés par des autorités de sécurité distinctes.
Confidentialité
Cette métrique mesure l’impact sur la confidentialité des ressources d’informations gérées par un composant logiciel à la suite d’une vulnérabilité exploitée. La confidentialité désigne la restriction de l’accès et de la divulgation d’informations aux utilisateurs autorisés uniquement, ainsi que l’interdiction de l’accès ou de la divulgation pour les utilisateurs non autorisés.
Élevée
Il y a une perte totale de confidentialité qui entraîne la divulgation de toutes les ressources du composant impacté à l’attaquant. Sinon, l’accès à certaines informations restreintes est possible, mais les informations divulguées ont un impact grave direct.
Intégrité
Cette métrique mesure l’impact sur l’intégrité d’une vulnérabilité exploitée. L’intégrité désigne la fiabilité et la véracité des informations.
Élevée
Il y a une perte totale d’intégrité ou de protection. Par exemple, l’attaquant peut modifier un ou tous les fichiers protégés par le composant impacté. Sinon, seuls certains fichiers peuvent être modifiés, mais une modification malveillante aurait une conséquence grave directe pour le composant impacté.
Disponibilité
Cette métrique mesure l’impact sur la disponibilité du composant impacté dû à une vulnérabilité exploitée. Elle indique la perte de disponibilité du composant impacté, comme un service en réseau (web, base de données, courrier, par exemple). La disponibilité désigne l’accessibilité de ressources d’informations. Par conséquent, les attaques qui utilisent de la bande passante du réseau, des cycles de processeur ou de l’espace disque ont un impact sur la disponibilité d’un composant impacté.
Faible
Les performances sont diminuées ou la disponibilité des ressources subit des interruptions. Même si l’exploitation répétée de la vulnérabilité est possible, l’attaquant n’est pas en mesure de refuser le service aux utilisateurs légitimes. Les ressources du composant impacté sont partiellement disponibles en permanence ou entièrement disponibles une partie du temps. De manière générale, il n’y a aucune conséquence grave directe pour ce composant.
Métriques de score temporel(3)
Maturité de code malveillant
Cette métrique mesure la probabilité d’attaque de la vulnérabilité. Elle repose généralement sur l’état actuel des techniques de code malveillant, la disponibilité publique du code malveillant ou l’exploitation observée active.
Preuve de concept
Un code malveillant de type « preuve de concept » est disponible ou une démonstration d’attaque n’est pas pratique pour la plupart des systèmes. Le code ou la technique ne fonctionne pas dans toutes les situations et peut nécessiter une modification considérable par un attaquant compétent.
Niveau de correction
Le niveau de correction d’une vulnérabilité est un facteur important pour la détermination de la priorité. Une vulnérabilité classique n’est pas corrigée quand elle est publiée. Des solutions de contournement ou des correctifs logiciels peuvent proposer une correction temporaire applicable jusqu’à la publication d’un correctif ou d’une mise à niveau officielle. Chacune de ces étapes respectives fait baisser le score temporel pour indiquer que l’urgence diminue quand une correction est finalisée.
Correctif officiel
Une solution complète du fournisseur est disponible. Le fournisseur a publié un correctif officiel ou une mise à niveau est disponible.
Fiabilité du rapport
Cette métrique mesure le degré de fiabilité en ce qui concerne l’existence de la vulnérabilité et la crédibilité des détails techniques connus. Il peut arriver que seule l’existence d’une vulnérabilité soit rendue publique, sans détails spécifiques. Par exemple, un impact peut être reconnu comme étant indésirable, alors que la cause racine n’est pas connue. La vulnérabilité peut être corroborée ultérieurement par des recherches suggérant son origine potentielle. Enfin, une vulnérabilité peut être confirmée par reconnaissance de l’auteur ou du fournisseur de la technologie concernée. L’urgence d’une vulnérabilité est plus élevée quand elle existe avec certitude. Cette métrique suggère également le niveau de connaissances techniques disponibles pour les attaquants potentiels.
Confirmé
Il existe des rapports détaillés ou une reproduction fonctionnelle est possible (des codes malveillants fonctionnels peuvent la fournir). Le code source est disponible pour vérifier les assertions de la recherche de manière indépendante, ou l’auteur ou le fournisseur du code concerné a confirmé la présence de la vulnérabilité.
Pour plus d’informations sur la définition de ces métriques, consultez la page Common Vulnerability Scoring System.
Synthèse
Il existe une vulnérabilité d’usurpation d’identité quand le protocole TLS (Transport Layer Security) accède à des sessions non-EMS (Extended Master Secret). Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder à des informations non autorisées.
Pour exploiter la vulnérabilité, un attaquant devrait exécuter une attaque de l’intercepteur (« man-in-the-middle »).
Cette mise à jour corrige la vulnérabilité en modifiant la manière dont le client et le serveur TLS établissent et reprennent des sessions avec des homologues non-EMS.
Exploitabilité
Le tableau ci-dessous fournit une évaluation d’exploitabilité pour cette vulnérabilité lors de la publication initiale.
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- Exploitation moins probable
Remerciements
- Thijs Alkemade (@xnyhps) of Computest
Mises à jour de sécurité
Consultez le site web Politique de support Microsoft pour connaître la politique de support correspondant à votre logiciel.
Date de publication Descending
Produit
Plateforme
Impact
Gravité max.
Article
Télécharger
Build Number
8 oct. 2019
Windows Server 2012 R2 (Server Core installation)
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2012 R2
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2012 (Server Core installation)
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 R2 for x64-based Systems Service Pack 1
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 for x64-based Systems Service Pack 2
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 for Itanium-Based Systems Service Pack 2
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2008 for 32-bit Systems Service Pack 2
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows 8.1 for x64-based systems
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows 8.1 for 32-bit systems
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows 7 for x64-based Systems Service Pack 1
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows 7 for 32-bit Systems Service Pack 1
-
Spoofing
Important
- -
- -
8 oct. 2019
Windows Server 2016 (Server Core installation)
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1607 for x64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows Server, version 1903 (Server Core installation)
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1903 for ARM64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1903 for x64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1709 for ARM64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1709 for x64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows Server 2019 (Server Core installation)
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1809 for ARM64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1809 for x64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1803 for ARM64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows Server, version 1803 (Server Core Installation)
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1803 for x64-based Systems
-
Spoofing
Important
- -
8 oct. 2019
Windows 10 Version 1703 for x64-based Systems
-
Spoofing
Important
- -
All results loaded
Toutes les 41 lignes chargées
Clause d’exclusion de responsabilité
Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.
Révisions
version
revisionDate
description
1.0
8 oct. 2019
Information published.
Quel est votre degré de satisfaction en ce qui concerne le guide des mises à jour de sécurité MSRC ?