Accueil > Alertes du CERT-MC et du CERT-FR > Vulnérabilité dans Microsoft Outlook

Vulnérabilité dans Microsoft Outlook

Référence : CERT-FR-2023-ALE-002

Risque(s)

- Élévation de privilèges

Systèmes affectés

- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Outlook 2013 Service Pack 1 (éditions 32 bits)
- Microsoft Outlook 2013 Service Pack 1 (éditions 64 bits)
- Microsoft Outlook 2016 (édition 32 bits)
- Microsoft Outlook 2016 (édition 64 bits)
- Microsoft Office 2019 pour éditions 32 bits
- Microsoft Office 2019 pour éditions 64 bits
- Microsoft Office LTSC 2021 pour éditions 32 bits
- Microsoft Office LTSC 2021 pour éditions 64 bits
- Microsoft 365 Apps pour Entreprise pour systèmes 64 bits
- Microsoft 365 Apps pour Entreprise pour systèmes 32 bits

Résumé

En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l'existence d'une vulnérabilité CVE-2023-23397 affectant diverses versions du produit Outlook pour Windows qui permet à un attaquant de voler les authentifiants NTLM (new technology LAN manager).

Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance d'une première preuve de concept publique (non encore qualifiée).

La vulnérabilité ne requiert pas d'intervention de l'utilisateur. Elle est déclenchée lorsqu'un attaquant envoie un message contenant un lien UNC vers une ressource partagée en SMB hébergée sur un serveur qui serait sous contrôle de l'attaquant. Durant la connexion SMB au serveur malveillant, le condensat NTLM pour la négociation de l'authentification est envoyé, l'attaquant peut ainsi le relayer auprès d'autres services supportant ce type d'authentification pour obtenir un accès valide.

L'éditeur indique que les version d'Outlook pour Android, iOS, Mac, mais aussi la version web et les services M365 ne sont pas vulnérables.

Microsoft a publié un code Powershell et une documentation permettant de vérifier si un système a été la cible d'une attaque. Le script remonte les courriels, tâches et invitations de calendrier pointant vers un partage potentiellement non-maîtrisé. Ces éléments doivent être passés en revue afin de déterminer leur légitimité et, dans le cas contraire, ils doivent faire l'objet d'une investigation (contrôler l'existence de connexions sortantes associées, lister les connexions réalisées à l'aide du compte utilisateur, etc.) pour prendre les mesures de remédiation appropriées.

Solution

Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par Microsoft, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Billet de blogue Microsoft du 14 mars 2023
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/  
- Bulletin de sécurité Microsoft CVE-2023-23397 du 14 mars 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397  
- Documentation et code Powershell fournis par Microsoft pour l'identification de compromission
https://aka.ms/CVE-2023-23397ScriptDoc  
- Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/  
- Avis CERTFR-2023-AVI-0231 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0231/  
- Avis CERTFR-2023-AVI-0234 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0234/  
- Référence CVE CVE-2023-23397
https://www.cve.org/CVERecord?id=CVE-2023-23397  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-002/  

CERTFR-2024-ALE-015_Vulnérabilité sur l'interface de management des équipements Palo Alto Networks

18 novembre 2024
actualite

ObjetVulnérabilité sur l'interface de management des équipements Palo Alto NetworksRéférenceCERTFR-2024-ALE-015Risques Exécution de code arbitrai... Lire la suite[+]

CERTFR-2024-ALE-014_Vulnérabilité dans Fortinet FortiManager

23 octobre 2024
actualite

ObjetVulnérabilité dans Fortinet FortiManagerRéférenceCERTFR-2024-ALE-014Risques Exécution de code arbitraire à distance FortiManager Cloud vers... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/Vulnerabilite-dans-Microsoft-Outlook