Cyberattaque

Microsoft corrige la faille d’Outlook utilisée par des pirates russes depuis avril 2022

Par Philippe Ternision , le 16 mars 2023 , mis à jour le 16 mars 2023 - 4 minutes de lecture
Outlook
Notez l'article

Microsoft a corrigé une vulnérabilité “zero-day” d’Outlook (CVE-2023-23397) qui était utilisée pour attaquer des entreprises européennes par un collectif de pirates informatiques affilié au service de renseignement militaire russe GRU.

Moins de 15 réseaux d’institutions gouvernementales, militaires, énergétiques et de transport ont été visés par des attaques qui ont utilisé la faille de sécurité entre la mi-avril et décembre 2022.

En forçant les machines des cibles à s’authentifier sur des partages SMB contrôlés par les attaquants, le gang de pirates (identifié comme APT28, STRONTIUM, Sednit, Sofacy et Fancy Bear) a publié des notes et des tâches Outlook malveillantes pour voler les hashs NTLM via des requêtes de négociation NTLM.

Les informations d’identification compromises ont été utilisées pour modifier les autorisations sur les dossiers de boîtes aux lettres Outlook, ce qui a permis l’exfiltration de courriels pour des comptes particuliers, et pour se déplacer latéralement à l’intérieur des réseaux des victimes.

Ces informations ont été mises à la disposition des clients ayant souscrit à Microsoft 365 Defender, Microsoft Defender for Business ou Microsoft Defender for Endpoint Plan 2, selon un rapport privé d’analyse des menaces consulté par BleepingComputer.

EoP critique dans Outlook pour Windows

La vulnérabilité (CVE-2023-23397) a été découverte par le CERT-UA (Computer Emergency Response Team for Ukraine), et il s’agit d’une faiblesse de sécurité majeure qui affecte Outlook et permet aux utilisateurs d’élever leurs privilèges sans avoir à interagir avec le système.

Les acteurs de la menace peuvent en tirer parti en envoyant à un partage SMB (TCP 445) sous leur contrôle des messages ayant des propriétés MAPI et des chemins UNC améliorés.

“En envoyant un courriel spécialement écrit qui s’active automatiquement lorsqu’il est téléchargé et traité par le client Outlook, l’attaquant peut tirer parti de cette vulnérabilité. Avant que le courriel ne soit vu dans le volet de prévisualisation, il pourrait être exploité “Dans un avis de vulnérabilité publié aujourd’hui, Microsoft déclare.

Dans un billet de blog séparé, Redmond explique que la connexion au serveur SMB distant envoie le message de négociation NTLM de l’utilisateur, que l’attaquant peut ensuite relayer pour l’authentification contre d’autres systèmes qui acceptent l’authentification NTLM.

Microsoft Outlook pour Windows est affecté par la CVE-2023-23397 dans toutes les versions prises en charge, mais pas dans les versions pour Android, iOS ou macOS.

En outre, comme les services en ligne tels que Microsoft 365 et Outlook on the Web n’utilisent pas l’authentification NTLM, ils ne sont pas menacés par les attaques qui tirent parti de cette vulnérabilité de relais NTLM.

Microsoft conseille d’utiliser immédiatement le correctif CVE-2023-23397 pour résoudre ce problème et prévenir les attaques.

Afin de réduire l’impact de CVE-2023-23397, l’entreprise suggère également d’ajouter des membres au groupe Protected Users dans Active Directory et de limiter la sortie de SMB (port TCP 445).

Script d’atténuation et de détection de ciblage disponible

Afin d’atténuer temporairement les effets des attaques, Microsoft conseille aux utilisateurs de patcher immédiatement leurs systèmes contre CVE-2023-23397, d’ajouter des utilisateurs au groupe Active Directory connu sous le nom de Protected Users, et de restreindre la sortie de SMB (port TCP 445).

Pour aider les administrateurs à déterminer si les utilisateurs d’une infrastructure Exchange ont été affectés par cette vulnérabilité Outlook, Redmond a également publié un script PowerShell spécifique.

Selon Microsoft, ce script “vérifie si une propriété est fournie avec un chemin UNC” pour les éléments de messagerie Exchange (courrier, calendrier et tâches).

Si nécessaire, les administrateurs peuvent utiliser ce script pour supprimer les éléments dangereux de la propriété ou même pour les effacer définitivement.

Lorsqu’il est exécuté en mode Nettoyage, ce script permet également de modifier ou d’effacer des messages potentiellement dangereux découverts sur le serveur Exchange audité.

Source

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.