Barracuda full logo

Avis sur les menaces à la cybersécurité : Microsoft Outlook : vulnérabilité liée à l'élévation de privilèges

Thèmes:
22 mars 2023
|
Matthew Russo

La semaine dernière, Microsoft Threat Intelligence a découvert une vulnérabilité critique liée à l'élévation de privilèges (EoP) dans Microsoft Outlook, qui permet de voler les identifiants NTLM (New Technology LAN Manager). Les pirates peuvent potentiellement s'authentifier, élever leurs privilèges et accéder aux environnements Windows de la victime. Barracuda SOC recommande d'installer la dernière mise à jour de sécurité d'Outlook et d'effectuer l'évaluation des risques de Microsoft.

Nature de la menace

CVE-2023-23397 est une vulnérabilité EoP critique qui existe dans Microsoft Outlook. Cela se produit lorsque le pirate envoie un message avec une propriété MAPI (Messaging Application Programming Interface) étendue associée à un chemin de partage SMB (Server Message Block) sur un serveur malveillant. L'interaction de l'utilisateur avec le message n'est pas requise. Cette connexion au serveur distant du pirate expose alors les identifiants NTLM de la victime. Ils sont ensuite utilisés par le pirate pour s'authentifier dans les systèmes de la victime qui utilisent l'authentification NTLM, ce qui conduit à une élévation des privilèges. Toutes les versions prises en charge de Microsoft Outlook sous Windows sont concernées par la vulnérabilité CVE-2023-23397.

Pourquoi est-ce important ?

Microsoft Outlook est un client de messagerie utilisé par les entreprises du monde entier pour envoyer et recevoir des e-mails. La CVE-2023-23397 a reçu un score de base critique CVSS (Common Vulnerability Scoring System) de 9,8 sur 10, conformément à la base de données nationale des vulnérabilités du NIST. Toutes les versions prises en charge de Microsoft Outlook sous Windows sont concernées. Cette vulnérabilité est d'autant plus dangereuse que l'interaction avec l'utilisateur n'est pas requise et que la victime est affectée dès que l'e-mail arrive dans sa boîte de réception. Les entreprises utilisant Microsoft Outlook sous le système d'exploitation Windows sont directement affectées par cette vulnérabilité EoP et doivent être soigneusement inspectées.

Quel est le risque ou le degré d'exposition ?

Les vulnérabilités liées à l'élévation des privilèges sont jugées critiques, car elles peuvent donner un accès complet à tous les systèmes de l'environnement de la victime. Cette vulnérabilité entraîne l'exposition d'identifiants sensibles, ce qui permet aux pirates de les relayer dans l'environnement Outlook de la victime. En raison de la nature de Microsoft Outlook, les données personnelles et confidentielles de ces environnements risquent d'être exposées lorsque cette vulnérabilité est exploitée. Microsoft a récemment mis en place des mesures visant à limiter l'impact de la vulnérabilité CVE-2023-23397.

Quelles sont les recommandations ?

Barracuda recommande les mesures suivantes pour limiter l’impact de cette vulnérabilité Microsoft Outlook :

  • Installer immédiatement la mise à jour de sécurité d'Outlook, quel que soit votre serveur de messagerie.
  • Effectuer l'évaluation des risques de Microsoft (documentation et script fournis ici : https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
  • Bloquer la sortie TCP 445/SMB de votre réseau pour empêcher l'envoi de messages d'authentification NTLM à des partages de fichiers à distance.
  • Ajouter des utilisateurs au groupe de sécurité des utilisateurs protégés sur Outlook pour prévenir l'utilisation de l'authentification NTLM.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

 

Cet avis sur les menaces de cybersécurité a été publié en premier lieu sur SmarterMSP.

 

 

Matthew Russo

Matthew est analyste en cybersécurité chez Barracuda MSP. Il est expert en sécurité et travaille pour notre Blue Team au sein de notre SOC. Matthew soutient notre prestation de services XDR et est hautement qualifié pour analyser les événements de sécurité afin de détecter les cybermenaces, contribuant ainsi à la protection de nos partenaires et de leurs clients. Connectez-vous avec lui sur LinkedIn ici.

Billets associés :
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
 Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Microsoft SharePoint
Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Microsoft SharePoint
 Avis de menace de cybersécurité : attaque mondiale contre Microsoft Exchange
Avis de menace de cybersécurité : attaque mondiale contre Microsoft Exchange
 Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Google Chrome
Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Google Chrome
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.