La vulnérabilité affecte en particulier Microsoft Outlook qui est inclus dans la suite Microsoft Office. L'interface OWA (Outlook Web Application), version web de la messagerie Outlook, n’est pas affectée par cette vulnérabilité selon l’éditeur.
Résumé
[Mise à jour du 15 mars 2024] Ajout de
précision concernant les défi-réponses NTLM
[Mise à jour du 22 février 2024] Ajout de
recommandations et de précisions sur le fonctionnement de la
vulnérabilité.
La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les
mesures de sécurité de la suite Office, dont la solution de messagerie
Outlook. Plus précisément, son exploitation permet de contourner
certaines mesures de sécurité de la suite Office qui empêchent l'accès à
une ressource externe sans validation de l'utilisateur.
Ainsi, en utilisant un lien malveillant dans un courriel, un attaquant
est en mesure :
- d'obtenir la réponse à un défi-réponse lié à l'authentification de
l'utilisateur, par exemple via le protocole SMB. Ce défi-réponse
dépend de la configuration système et est communément au format
NTLMv2. Ce comportement combiné à une attaque de type "relais NTLM"
permettrait à un attaque de réaliser une coercition
d'authentification.
- si la cible du lien est un document Office, de provoquer l'ouverture
du document sans que le mode protégé de Microsoft Office ne soit
activé, permettant in fine une exécution de code arbitraire à
distance.
[Publication initiale]
Le 13 février 2024, Microsoft a publié un correctif pour la
vulnérabilité CVE-2024-21413 affectant le
produit Outlook pour Windows.
Elle permet à un attaquant non authentifié de divulguer le condensat
NTLM (new technology LAN manager) local et potentiellement
une exécution de code arbitraire à distance.
Son exploitation nécessite une intervention de l'utilisateur.
Une preuve de concept partielle ainsi qu'un descriptif de la
vulnérabilité ont été publiés par le chercheur auteur de sa découverte.
Le CERT-FR n'a pas connaissance d'exploitation pour le moment. En
fonction de l'évolution de la situation, cette alerte est susceptible
d'être mise à jour.
Solution
[Mise à jour du 15 mars 2024] Ajout de
précision concernant les défi-réponses NTLM
[Mise à jour du 22 février 2024] Ajout de
recommandations.
Afin de prévenir l'exploitation à distance de cette vulnérabilité, le
CERT-FR recommande:
- D’appliquer la mise à jour fournie par Microsoft dans les meilleurs
délais. Se référer au bulletin de sécurité de l'éditeur pour
l'obtention des correctifs (cf. section Documentation).
- De limiter l'utilisation de NTLMv2 et d'activer les mesures de
protection contre les attaques relais préconisées par l'éditeur
[2] ainsi que les recommandations (R71 à R77) relatives à
l'administration sécurisée des systèmes d'information reposant sur
microsoft active directory [3]
- D'interdire les flux SMB en sortie du système
d'information (TCP/445). Cette règle s'impose également aux
postes nomades, dont les flux doivent être sécurisés.
- De détecter des liens malveillants dans les courriels reçus, par
exemple en utilisant une expression régulière (voir la règle Yara
[1]). Le CERT-FR n'est pas en mesure de garantir les résultats
obtenus par cette règle de détection, qui devront donc être
qualifiés.
[Publication initiale]
Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par
Microsoft. Se référer au bulletin de sécurité de l'éditeur pour
l'obtention des correctifs (cf. section Documentation).