Alerte Vulnérabilité dans Outlook

Cellule de réponses aux incidents de sécurité


Résumé

[Mise à jour du 22 février 2024] Ajout de recommandations et de précisions sur le fonctionnement de la vulnérabilité.

La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les mesures de sécurité de la suite Office, dont la solution de messagerie Outlook. Plus précisément, son exploitation permet de contourner certaines mesures de sécurité de la suite Office qui empêchent l’accès à une ressource externe sans validation de l’utilisateur.

Ainsi, en utilisant un lien malveillant dans un courriel, un attaquant est en mesure :

  • d’obtenir le condensat NTLM de l’utilisateur, par exemple via le protocole SMB ;
  • si la cible du lien est un document Office, de provoquer l’ouverture du document sans que le mode protégé de Microsoft Office ne soit activé, permettant in fine une exécution de code arbitraire à distance.

Risque(s)

  • Exécution de code arbitraire à distance
  • Atteinte à la confidentialité des données

Solution

[Mise à jour du 22 février 2024] Ajout de recommandations.

Afin de prévenir l’exploitation à distance de cette vulnérabilité, le CERT-FR recommande:

  • D’appliquer la mise à jour fournie par Microsoft dans les meilleurs délais. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
  • D’interdire les flux SMB en sortie du système d’information (TCP/445). Cette règle s’impose également aux postes nomades, dont les flux doivent être sécurisés.
  • De détecter des liens malveillants dans les courriels reçus, par exemple en utilisant une expression régulière (voir la règle Yara [1]). Le CERT-FR n’est pas en mesure de garantir les résultats obtenus par cette règle de détection, qui devront donc être qualifiés.

Documentation

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *