Vulnérabilité dans Microsoft Outlook

Risque(s)

- Élévation de privilèges

Systèmes affectés

- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Outlook 2013 Service Pack 1 (éditions 32 bits)
- Microsoft Outlook 2013 Service Pack 1 (éditions 64 bits)
- Microsoft Outlook 2016 (édition 32 bits)
- Microsoft Outlook 2016 (édition 64 bits)
- Microsoft Office 2019 pour éditions 32 bits
- Microsoft Office 2019 pour éditions 64 bits
- Microsoft Office LTSC 2021 pour éditions 32 bits
- Microsoft Office LTSC 2021 pour éditions 64 bits
- Microsoft 365 Apps pour Entreprise pour systèmes 64 bits
- Microsoft 365 Apps pour Entreprise pour systèmes 32 bits

Résumé

En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l'existence d'une vulnérabilité CVE-2023-23397 affectant diverses versions du produit Outlook pour Windows qui permet à un attaquant de voler les authentifiants NTLM (new technology LAN manager).

Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance d'une première preuve de concept publique (non encore qualifiée).

La vulnérabilité ne requiert pas d'intervention de l'utilisateur. Elle est déclenchée lorsqu'un attaquant envoie un message contenant un lien UNC vers une ressource partagée en SMB hébergée sur un serveur qui serait sous contrôle de l'attaquant. Durant la connexion SMB au serveur malveillant, le condensat NTLM pour la négociation de l'authentification est envoyé, l'attaquant peut ainsi le relayer auprès d'autres services supportant ce type d'authentification pour obtenir un accès valide.

L'éditeur indique que les version d'Outlook pour Android, iOS, Mac, mais aussi la version web et les services M365 ne sont pas vulnérables.

Microsoft a publié un code Powershell et une documentation permettant de vérifier si un système a été la cible d'une attaque. Le script remonte les courriels, tâches et invitations de calendrier pointant vers un partage potentiellement non-maîtrisé. Ces éléments doivent être passés en revue afin de déterminer leur légitimité et, dans le cas contraire, ils doivent faire l'objet d'une investigation (contrôler l'existence de connexions sortantes associées, lister les connexions réalisées à l'aide du compte utilisateur, etc.) pour prendre les mesures de remédiation appropriées.

Solution

Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par Microsoft, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Billet de blogue Microsoft du 14 mars 2023
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/  
- Bulletin de sécurité Microsoft CVE-2023-23397 du 14 mars 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397  
- Documentation et code Powershell fournis par Microsoft pour l'identification de compromission
https://aka.ms/CVE-2023-23397ScriptDoc  
- Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/  
- Avis CERTFR-2023-AVI-0231 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0231/  
- Avis CERTFR-2023-AVI-0234 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0234/  
- Référence CVE CVE-2023-23397
https://www.cve.org/CVERecord?id=CVE-2023-23397  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-002/