Résumé
[mise à jour du 11 mai 2023]
Possibilité de contournement du correctif proposé par l'éditeur par le
biais de la CVE-2023-29324
[mise à jour du 20 avril 2023] clarification de la recommandation
pour le filtrage du flux SMB
[mise à jour du 29 mars 2023] complément d'information et
recommandation
En date du 14 mars 2023, lors
de sa mise à jour mensuelle, Microsoft a indiqué l'existence
d'une vulnérabilité CVE-2023-23397 affectant diverses versions du
produit Outlook pour Windows qui permet à un attaquant de récupérer le condensat
Net-NTLMv2 (new technology LAN manager).
Microsoft indique que cette vulnérabilité est activement exploitée dans
le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance
d'une première preuve de concept publique (non encore qualifiée).
La vulnérabilité ne requiert pas d'intervention de l'utilisateur. Elle
est déclenchée lorsqu'un attaquant envoie un message contenant un
lien UNC (Universal Naming Convention) vers une ressource partagée
en SMB hébergée sur un serveur qui serait sous contrôle de
l'attaquant. Durant la connexion SMB au serveur malveillant, le message d’authentification
NTLM pour la négociation de l'authentification est envoyé, l'attaquant
peut ainsi le relayer auprès d'autres services supportant ce type
d'authentification pour obtenir un accès valide.
L'éditeur indique que les version d'Outlook pour Android, iOS, Mac, mais
aussi la version web et les services M365 ne sont pas vulnérables.
Microsoft a publié un code Powershell et une documentation permettant de
vérifier si un système a été la cible d'une attaque. Le script remonte
les courriels, tâches et invitations de calendrier pointant vers un
partage potentiellement non-maîtrisé. Ces éléments doivent être passés
en revue afin de déterminer leur légitimité et, dans le cas contraire,
ils doivent faire l'objet d'une investigation (contrôler l'existence de
connexions sortantes associées, lister les connexions réalisées à l'aide
du compte utilisateur, etc.) pour prendre les mesures de remédiation
appropriées.
[mise à jour du 20 avril 2023] Le 24 mars 2023, Microsoft a publié
un guide d'investigation documentant les différents contrôles à mener et
les indicateurs de compromission à chercher. Il convient de noter que ce
guide apporte plusieurs éléments techniques qui sont également à prendre
en compte :
- Pour prévenir une exploitation menée par un attaquant utilisant une
machine distante pour collecter les condensats Net-NTLMv2, il
convient d'interdire les flux SMB en sortie du système
d'information (TCP/445). Cette règle s'impose également aux
postes nomades, dont les flux doivent être sécurisés (cf. les règles
R16 à R18 du guide ANSSI pour le nomadisme numérique [2]).
- La mise à
jour de sécurité de Microsoft Exchange Server du mois de mars 2023
permet de prévenir l'exploitation de la vulnérabilité en supprimant
automatiquement les courriels dont la propriété
PidLidReminderFileParameter est définie. Ce correctif ne corrige
pas la vulnérabilité intrinsèque au client Outlook mais empêche son
exploitation.
[mise à jour du 11 mai 2023]
Le 9 mai, Microsoft a publié un correctif pour une vulnérabilité
dont l'identifiant est CVE-2023-29324. Cette vulnérabilité permet de
continuer à exploiter la vulnérabilité CVE-2023-23397 avec un lien UNC
spécialement construit par l'attaquant [3] si le correctif de sécurité
de mars 2023 pour les serveurs Microsoft Exchange n'a pas été appliqué
(cf. la mise à jour de l'alerte du 20 avril).
Afin de respecter le principe de défense en profondeur, le CERT-FR
recommande d'appliquer la mise à jour de mai 2023 (correction de la
vulnérabilité CVE-2023-29324).
Solution
Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par
Microsoft, se référer au bulletin de sécurité de l'éditeur pour
l'obtention des correctifs (cf. section Documentation).
[mise à jour du 29 mars 2023] Le CERT-FR recommande fortement
d'appliquer la mise à jour de sécurité de mars 2023 pour Microsoft
Exchange Server.
[mise à jour du 29 mars 2023]
Le CERT-FR recommande fortement d'appliquer les mises à jour de sécurité
de mars et de mai 2023 pour Microsoft Exchange Server.