Avis sur les menaces de cybersécurité : exploitation d'une vulnérabilité critique d'Outlook

Microsoft a récemment découvert que le groupe de pirates informatiques APT28 (« Fancybear » ou « Strontium »), parrainé par l'État russe, exploitait une faille critique d'Outlook pour accéder à des comptes Microsoft Exchange et voler leurs informations critiques. Cet avis sur les menaces en matière de cybersécurité se penche sur la menace et les recommandations pour s'en prémunir.

Nature de la menace

La vulnérabilité de sécurité, connue sous le nom de CVE-2023-23397, est un bogue critique d'élévation des privilèges (EoP). Elle permet aux pirates d'accéder au hachage Net-NTLMv2 d'un utilisateur pour mener des attaques relais contre un autre service et se faire passer pour des utilisateurs légitimes. APT28 l'exploite depuis avril 2022 en utilisant des notes Outlook spécialement conçues pour voler les hachages NTLM. Cela a conduit l'appareil cible à s'authentifier sur des partages SMB contrôlés par les pirates sans aucune interaction de la part de l'utilisateur.

Pourquoi est-ce important ?

Il s'agit d'un bogue qui aurait été corrigé par Microsoft en mars 2023. Selon le Polish Cyber Command (DKWOC), l'objectif d'APT28 est d'accéder à des messageries appartenant à des entités publiques et privées. Une fois l'accès obtenu, APT28 modifie les permissions des dossiers dans la boîte de messagerie de la victime, en modifiant les permissions par défaut du groupe « Défaut » en « Propriétaire ». Les dossiers dotés de cette autorisation peuvent alors être lus par toute personne authentifiée, ce qui permet au pirate d'extraire des informations vitales.

Quel est le risque ou le degré d'exposition ?

Microsoft a précédemment révélé que CVE-2023-23397 avait été militarisé par des pirates russes en tant que vulnérabilité zero-day dans des attaques précédentes contre les secteurs du gouvernement, du transport, de l'énergie et de l'armée à travers l'Europe depuis avril 2022. En outre, en juin 2023, la société de cybersécurité Recorded Future a révélé une campagne de spear-phishing orchestrée par APT28 pour exploiter de nombreuses vulnérabilités dans Roundcube, un logiciel de messagerie web open-source, soulignant que la campagne coïncide avec des activités qui exploitent CVE-2023-23397.

Quelles sont les recommandations ?

Barracuda MSP recommande les mesures suivantes pour protéger votre environnement de cette vulnérabilité :

• Mise en œuvre des correctifs de sécurité pour CVE-2023-23397 et son contournement correspondant CVE-2023-29324.
• Réinitialiser les mots de passe des utilisateurs compromis et activer l'authentification multifactorielle pour tous les utilisateurs.
• Renforcer la sécurité en limitant le trafic SMB ; bloquer les connexions aux ports 135 et 445 depuis toutes les adresses IP entrantes.
• Renforcer la sécurité de votre environnement en désactivant NTLM.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

• Des pirates russes exploitent un bogue d'Outlook pour pirater des comptes Exchange (bleepingcomputer.com)
• Microsoft met en garde contre l'exploitation par APT28, appuyée par le Kremlin, d'une vulnérabilité critique d'Outlook (thehackernews.com)

Si vous avez des questions au sujet de cette alerte de menace pour la cybersécurité, veuillez contacter le Security Operations Center de Barracuda XDR.