Microsoft a confirmé qu’une vulnérabilité Outlook critique, évaluée à 9,8 sur un maximum de 10, est connue pour avoir déjà été exploitée dans la nature. Si vous pensez que cela sonne mal, c’est pire : l’exploit est déclenché à la réception d’un e-mail malveillant, et est donc exécuté avant que cet e-mail ne soit lu dans le volet de prévisualisation. C’est exact; il s’agit d’un exploit sans interaction de l’utilisateur. Voici ce que nous savons du nouveau jour zéro de Microsoft Outlook.
Qu’est-ce que CVE-2023-23397, la vulnérabilité Zero Day critique de Microsoft Outlook ?
CVE-2023-23397 est une vulnérabilité d’élévation des privilèges de Microsoft Outlook qui, selon le Microsoft Security Resource Center (MSRC), a déjà été utilisée par un « acteur menaçant basé en Russie » dans des attaques ciblées contre le gouvernement, les transports, l’énergie et secteurs militaires en Europe. En effet, l’équipe ukrainienne d’intervention d’urgence informatique (CERT) est créditée d’avoir signalé le jour zéro à Microsoft.
Les détails techniques complets sont, pour l’instant, assez minces sur le terrain. Cependant, une publication MSRC indique que la vulnérabilité critique de Microsoft Outlook est « déclenchée lorsqu’un attaquant envoie un message avec une propriété MAPI étendue avec un chemin UNC vers un partage SMB (TCP 445) sur un serveur contrôlé par un acteur malveillant. Aucune interaction n’est requise. . » La publication continue d’expliquer que la connexion à un serveur SMB (bloc de message du serveur) distant envoie à l’utilisateur un message de négociation du gestionnaire LAN de nouvelle technologie (NTLM) qui est ensuite relayé pour authentification auprès des systèmes de prise en charge. « Les services en ligne tels que Microsoft 365 ne prennent pas en charge l’authentification NTLM », confirme la publication du MSRC, et ne sont donc pas vulnérables à cet exploit.
Toutes les versions actuellement prises en charge d’Outlook pour Windows sont concernées, mais pas Outlook pour le Web ni celles qui s’exécutent sur Android, iOS ou Mac.
Mise à jour du 16 mars :
La société de renseignement sur les menaces appartenant à Google, Mandiant, affirme qu’elle pense que la vulnérabilité CVE-2023-23397 de Microsoft Outlook est exploitée depuis près d’un an afin de cibler à la fois les organisations et les infrastructures critiques.
Les acteurs de la menace russe « Fancy Bear » parrainés par l’État exploitent CVE-2023-23397
Dans une déclaration par e-mail, Mandiant dit avoir créé « UNC4697 » pour suivre l’exploitation précoce de CVE-2023-23397, publiquement attribuée à l’acteur de menace connecté au renseignement militaire russe (GRU), APT28, mieux connu sous le nom de Fancy Bear. Il affirme que la vulnérabilité est exploitée depuis avril 2022 contre des cibles gouvernementales, de défense, de logistique, de transport et d’énergie basées en Pologne, en Roumanie, en Turquie et en Ukraine. Ces cibles pourraient, selon Mandiant, faciliter la collecte de renseignements stratégiques et les attaques perturbatrices ou destructrices visant à la fois gagner = mince et à l’extérieur de l’Ukraine.
« C’est une preuve supplémentaire que les cyberattaques agressives, perturbatrices et destructrices peuvent ne pas rester limitées à l’Ukraine et un rappel que nous ne pouvons pas tout voir », a déclaré John Hultquist, responsable de Mandiant Intelligence Analysis chez Google Cloud. « Ce sont des espions, et ils ont une longue feuille de route pour nous échapper avec succès. Ce sera un événement de propagation. C’est un excellent outil pour les acteurs de l’État-nation et les criminels qui seront sur une aubaine à court terme. la course a déjà commencé. »
Plusieurs preuves de concept désormais largement disponibles
De plus, Mandiant affirme que plusieurs preuves de concept sont désormais largement disponibles. Étant donné qu’il s’agit d’un exploit sans interaction de l’utilisateur, le potentiel de préjudice est élevé. En effet, Mandiant dit qu’il « prévoit une adoption large et rapide de l’exploit CVE-2023-23397 par plusieurs acteurs étatiques et à motivation financière, y compris des acteurs criminels et de cyberespionnage ».
Passer l’attaque Hash
Afin d’exploiter CVE-2023-23397, qui, selon Mandiant, est « trivial » à exécuter, un attaquant doit envoyer un e-mail malveillant avec une « propriété MAPI étendue contenant un chemin UNC vers le partage SMB (TCP 445) sur un attaquant- serveur contrôlé. » Cela déclenche ce que l’on appelle une attaque « Pass the Hash », mais dans ce cas, elle est déclenchée à la réception de l’e-mail par un client Outlook non corrigé, sans même que la cible ne le voie.
Que devez-vous faire maintenant ?
La bonne nouvelle est que l’avertissement concernant CVE-2023-23397 coïncide avec la publication de la dernière série de mises à jour de sécurité Patch Tuesday pour les utilisateurs de Microsoft. Il est donc recommandé d’appliquer le patch correspondant. Cela dit, si votre organisation n’est pas en mesure d’appliquer ces mises à jour de sécurité immédiatement, Microsoft a publié des solutions de contournement. L’ajout d’utilisateurs au groupe de sécurité des utilisateurs protégés empêchera l’utilisation de NTLM pour l’authentification, mais Microsoft avertit que cela pourrait « avoir un impact sur les applications qui nécessitent NTLM ». Vous pouvez également bloquer le TCP 445/SMB sortant à l’aide d’un pare-feu ou via les paramètres VPN.
Que dit l’industrie de la sécurité à propos du jour zéro de Microsoft Outlook ?
« Les administrateurs doivent corriger dans la journée si possible car la vulnérabilité est relativement simple à exploiter, ne nécessite pas d’interaction de l’utilisateur et est déjà exploitée à l’état sauvage », a déclaré Peter Pflaster, chef de produit technique chez Automox. « Microsoft a partagé deux atténuations temporaires si vous ne parvenez pas à appliquer un correctif immédiatement, ce qui aura un impact sur NTLM et les applications qui l’utilisent, alors procédez avec prudence. »
« Compte tenu du vecteur d’attaque réseau, de l’omniprésence des partages SMB et du manque d’interaction utilisateur requise, un attaquant disposant d’un pied existant approprié sur un réseau peut très bien considérer cette vulnérabilité comme un candidat de choix pour un mouvement latéral », a déclaré Adam Barnett, ingénieur logiciel en chef. à Rapid7, a déclaré.
« Un acteur malveillant exploite actuellement cette vulnérabilité pour fournir des fichiers MSI (Microsoft Installer) malveillants », a déclaré Bharat Jogi, directeur de la recherche sur les vulnérabilités et les menaces chez Qualys.
« L’attaque peut être exécutée sans aucune interaction de l’utilisateur en envoyant un e-mail spécialement conçu qui se déclenche automatiquement lorsqu’il est récupéré par le serveur de messagerie », a déclaré Mike Walters, vice-président de la recherche sur les vulnérabilités et les menaces chez Action1. « Cela peut conduire à une exploitation avant même que l’e-mail ne soit affiché dans le volet de prévisualisation. S’il est exploité avec succès, un attaquant peut accéder au hachage Net-NTLMv2 d’un utilisateur, qui peut être utilisé pour exécuter une attaque pass-the-hash sur un autre service et s’authentifier en tant qu’utilisateur. La meilleure solution consiste à installer la mise à jour Microsoft sur tous les systèmes après l’avoir testée dans un environnement contrôlé. »
Source: www.forbes.com
