Les pirates exploitent cette faille de sécurité de Microsoft Outlook qui entraîne une escalade des privilèges.
Microsoft a récemment corrigé une vulnérabilité d'escalade des privilèges par simple clic dans Microsoft Outlook, répertoriée sous le nom de CVE-2023-2339 et notée 9,8/10 dans le système CVSS (Common Vulnerability Scoring System). Si elle n'est pas corrigée, cette vulnérabilité pourrait permettre à un acteur de la menace de capturer des informations sensibles à partir de n'importe quel compte d'utilisateur qui reçoit le courriel malveillant et d'usurper l'identité de cet utilisateur.
La vulnérabilité réside dans une fonctionnalité de Microsoft Outlook qui permet de charger un fichier son personnalisé pour les notifications. Plus précisément, le fichier son ne doit pas nécessairement se trouver localement sur l'ordinateur, mais peut résider sur un partage de fichiers distant accessible via un chemin d'accès UNC (Universal Naming Convention).
Un pirate peut créer un courriel spécial, contenant généralement un calendrier malveillant ou une invitation à une réunion, qui force également l'ordinateur de la victime à charger un son de notification hébergé à distance à partir d'un partage SMB contrôlé par le pirate. L'ordinateur de la victime tente automatiquement de s'authentifier via New Technology LAN Manager (NTLM), exposant les informations d'identification hachées à l'attaquant. L'attaquant peut alors soit tenter de récupérer les informations d'identification en les craquant, soit les utiliser dans une attaque par rejeu pour s'authentifier auprès d'autres services.
Il est important de noter que ce processus ne nécessite aucune interaction de la part de la victime. Outlook lance automatiquement le partage de fichiers à distance compromis dès que le message malveillant arrive dans la boîte de réception de la victime.
Pour remédier à ce problème, les utilisateurs ou les administrateurs système devront installer la mise à jour de sécurité nécessaire de Microsoft Outlook ou restreindre l'utilisation de NTLM pour l'authentification. En outre, les organisations peuvent également bloquer le trafic SMB sortant sur le port 445. Cela empêche la tentative d'authentification du partage de fichiers à distance de se produire sur Internet. Microsoft a également publié un outil d'audit sur GitHub pour vérifier si votre organisation a été affectée.
TrustedSec signale que les services secrets militaires russes exploitent cette vulnérabilité depuis environ un an.
HOTHARDWARE