MS16-101 : Description de la mise à jour de sécurité pour les méthodes d'authentification Windows datée du 9 août 2016

Résumé

Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans Microsoft Windows. Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant exécutait une application spécialement conçue sur un système joint à un domaine.

Pour en savoir plus sur cette vulnérabilité, consultez le Bulletin de sécurité Microsoft MS16-101.

Plus d'informations

Important

• Toutes les prochaines mises à jour de sécurité et non liées à la sécurité pour Windows 8.1 et Windows Server 2012 R2 nécessitent l'installation de la mise à jour 2919355. Il est recommandé d'installer la mise à jour 2919355 sur votre ordinateur Windows 8.1 ou Windows Server 2012 R2 pour recevoir les prochaines mises à jour.

• Si vous installez un module linguistique après avoir installé cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d'installer les modules linguistiques nécessaires avant cette mise à jour. Pour en savoir plus, consultez Ajouter des modules linguistiques à Windows.
  

Problèmes connus dans cette mise à jour de sécurité

• Problème connu 1
  
  Les mises à jour de sécurité fournies dans le Bulletin MS16-101 et les mises à jour plus récentes désactivent le rétablissement de NTLM pour le processus Negotiate en cas d'échec de l'authentification Kerberos pour les opérations de modification de mot de passe avec le code d'erreur STATUS_NO_LOGON_SERVERS (0xc000005e). Dans ce cas, l'un des codes d'erreur suivants peut s'afficher.
  
  

  Format hexadécimal	Format décimal	Format symbolique	Format convivial
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Le système a détecté une tentative potentielle d'atteinte à la sécurité. Vérifiez que vous pouvez contacter le serveur qui vous a authentifié.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Le système a détecté une tentative potentielle d'atteinte à la sécurité. Vérifiez que vous pouvez contacter le serveur qui vous a authentifié.

  
  
  Solution de contournement
  
  Si les modifications de mot de passe qui réussissaient auparavant échouent après l'installation de la mise à jour MS16-101, il est probable que ces modifications de mot de passe reposaient précédemment sur le rétablissement de NTLM pour cause d'échec de Kerberos. Pour modifier des mots de passe à l'aide du protocole Kerberos, procédez comme suit :
  
  
  

  1. Configurez la communication ouverte sur le port TCP 464 entre les clients sur lesquels la mise à jour MS16-101 est installée et le contrôleur de domaine qui traite les réinitialisations de mot de passe.
     
     Les contrôleurs de domaine en lecture seule (RODC) peuvent traiter les réinitialisations de mot de passe en libre-service si l'utilisateur est autorisé par la stratégie de réplication de mot de passe RODC. Les utilisateurs qui ne sont pas autorisés par la stratégie de réplication de mot de passe RODC ont besoin d'une connectivité réseau pour un contrôleur de domaine en lecture/écriture (RWDC) dans le domaine de compte d'utilisateur.
     
     Remarque Pour déterminer si le port TCP 464 est ouvert, procédez comme suit :
     
     
     

     1. Créez un filtre d'affichage équivalent pour votre analyseur de moniteur réseau. Par exemple :
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Dans les résultats, recherchez la trame « TCP:[SynReTransmit ».
        
        

  2. Veillez à ce que les noms Kerberos cibles soient valides. (Les adresses IP ne sont pas valides pour le protocole Kerberos. Kerberos prend en charge les noms courts et les noms de domaine complets.)

  3. Assurez-vous que les noms principaux de service (SPN) sont correctement enregistrés.
     
     Pour plus d'informations, consultez l'article Kerberos et réinitialisation de mot de passe en libre-service.

• Problème connu 2
  
  Nous sommes au courant d'un problème selon lequel les réinitialisations de mot de passe par programme des comptes d'utilisateur de domaine échouent et renvoient le code d'erreur STATUS_DOWNGRADE_DETECTED (0x800704F1) si l'échec attendu est l'un des suivants :
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (rarement renvoyé)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Le tableau suivant affiche les détails complets.
  
  

  Format hexadécimal	Format décimal	Format symbolique	Format convivial
  0x56	86	ERROR_INVALID_PASSWORD	Le mot de passe réseau spécifié est incorrect.
  0x267	615	ERROR_PWD_TOO_SHORT	Le mot de passe fourni est trop court pour satisfaire à la stratégie de votre compte d'utilisateur. Choisissez un mot de passe plus long.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Lors de la tentative de mise à jour d'un mot de passe, cet état renvoyé indique que la valeur fournie comme mot de passe actuel est incorrecte.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Lors de la tentative de mise à jour d'un mot de passe, cet état renvoyé indique qu'une règle de mise à jour de mot de passe actuel n'a pas été respectée. Par exemple, le mot de passe ne respecte pas les critères de longueur.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Le système ne parvient pas à contacter un contrôleur de domaine pour traiter la demande d’authentification. Recommencez ultérieurement.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Le système ne parvient pas à contacter un contrôleur de domaine pour traiter la demande d’authentification. Recommencez ultérieurement.

  
  
  Résolution
  
  Le Bulletin MS16-101 a été republié pour résoudre ce problème. Installez la dernière version des mises à jour pour ce Bulletin afin de résoudre ce problème.
  
  

• Problème connu 3
  
  Nous sommes au courant d'un problème selon lequel les réinitialisations par programme des modifications de mot de passe de compte d'utilisateur local peuvent échouer et renvoyer le code d'erreur STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  Le tableau suivant affiche les détails complets.
  
  

  Format hexadécimal	Format décimal	Format symbolique	Format convivial
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Le système ne parvient pas à contacter un contrôleur de domaine pour traiter la demande d’authentification. Recommencez ultérieurement.

  
  
  Résolution
  
  Le Bulletin MS16-101 a été republié pour résoudre ce problème. Installez la dernière version des mises à jour pour ce Bulletin afin de résoudre ce problème.
  
  

• Problème connu 4
  
  Il est impossible de modifier les mots de passe de comptes d'utilisateur désactivés et verrouillés à l'aide du package Negotiate.
  
  Les changements de mot de passe pour des comptes désactivés et verrouillés fonctionnent encore en cas d'utilisation d'autres méthodes, comme une opération de modification LDAP directe. Par exemple, l'applet de commande PowerShell Set-ADAccountPassword utilise une opération de modification LDAP pour changer le mot de passe et n'est pas concernée.
  
  Solution de contournement
  
  Un administrateur doit réinitialiser les mots de passe pour ces comptes. Ce comportement est lié à la conception après l'installation de la mise à jour MS16-101 et des correctifs ultérieurs.
  
  

• Problème connu 5
  
  Les applications qui utilisent l'API NetUserChangePassword et qui transmettent un nom de serveur dans le paramètre domainname ne fonctionnent plus après l'installation de la mise à jour MS16-101 et des mises à jour ultérieures.
  
  La documentation Microsoft signale que la fourniture d'un nom de serveur distant dans le paramètre domainname de la fonction NetUserChangePassword est prise en charge. Par exemple, la rubrique MSDN sur la fonction NetUserChangePassword signale :
  
  domainname [in]
  

  Pointeur vers une chaîne constante qui spécifie le nom DNS ou NetBIOS d'un serveur ou domaine distant sur lequel la fonction doit être exécutée. Si ce paramètre a la valeur NULL, c'est le domaine de connexion de l'appelant qui est utilisé. Toutefois, ces conseils ont été remplacés par la mise à jour MS16-101, sauf si la réinitialisation de mot de passe est destinée à un compte local sur l'ordinateur local. Après la mise à jour MS16-101, pour que le changement de mot de passe d'un utilisateur de domaine soit effectif, vous devez transmettre un nom de domaine DNS valide à l'API NetUserChangePassword.

• Problème connu 6
  
  Après l'installation des mises à jour de sécurité décrites dans le Bulletin MS16-101, la modification par programme à distance du mot de passe d'un compte d'utilisateur local et la modification de mots de passe dans une forêt non approuvée échouent.
  
  
  Cette opération échoue car elle repose sur le rétablissement NTLM, qui n'est plus pris en charge pour les comptes non locaux après l'installation de la mise à jour MS16-101.
  
  
  Une clé de Registre est prévue pour désactiver cette modification.
  
  Avertissement Cette solution de contournement peut rendre votre ordinateur ou réseau vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement.
  
  ImportantCette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

  322756Comment faire pour sauvegarder et restaurer le Registre dans Windows
  
  Pour désactiver cette modification, affectez la valeur 1 (un) à l'entrée DWORD NegoAllowNtlmPwdChangeFallback.
  
  
  Important L'affectation de la valeur 1 à l'entrée de Registre NegoAllowNtlmPwdChangeFallback désactive ce correctif de sécurité :
  

  Valeur de Registre	Description
  0	Valeur par défaut. Le rétablissement est désactivé.
  1	Le rétablissement est toujours autorisé. Le correctif de sécurité est désactivé. Les clients qui rencontrent des problèmes liés à des comptes locaux distants ou à des scénarios de forêt non approuvée peuvent affecter cette valeur dans le Registre.

  Pour ajouter ces valeurs de Registre, procédez comme suit :
  

  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

  4. Entrez NegoAllowNtlmPwdChangeFallback comme nom pour la valeur DWORD, puis appuyez sur ENTRÉE.

  5. Cliquez avec le bouton droit sur NegoAllowNtlmPwdChangeFallback, puis cliquez sur Modifier.

  6. Dans la zone Données de la valeur, tapez 1 pour désactiver cette modification, puis cliquez sur OK.
     
     
     Remarque Pour rétablir la valeur par défaut, tapez 0 (zéro), puis cliquez sur OK.

  Statut
  
  La cause première de ce problème est comprise. Cet article sera mis à jour dès que d'autres informations seront disponibles.

Procédure d'obtention et d'installation de la mise à jour

Méthode 1 : Windows Update

Cette mise à jour est disponible via Windows Update. Si vous activez les mises à jour automatiques, cette mise à jour est téléchargée et installée automatiquement. Pour en savoir plus sur l'activation des mises à jour automatiques, consultez la section
Obtenir les mises à jour de sécurité automatiques.

Méthode 2 : Catalogue Microsoft Update

Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Plus d'informations

Informations sur les fichiers