Il est conseillé aux utilisateurs de Microsoft Outlook d’appliquer de toute urgence les correctifs de sécurité fournis par Microsoft.
Hanovre, Allemagne – 16 mars 2023 – Une grave faille de sécurité a été découverte dans Microsoft Outlook, qui est actuellement exploité par des cybercriminels. La vulnérabilité, identifiée comme CVE-2023-23397 avec un score CVSS de 9,8, permet à un attaquant distant non autorisé de compromettre des systèmes simplement en transmettant un courriel spécifiquement conçu. Ce courriel malveillant permet à l’attaquant d’obtenir un accès non autorisé aux informations d’identification du destinataire.
On s’attend à des attaques plus généralisées ciblant cette vulnérabilité
Umut Alemdar, responsable du laboratoire de sécurité chez Hornetsecurity, a déclaré : « Nous nous attendons à ce que la probabilité d’attaques plus répandues ciblant la vulnérabilité CVE-2023-23397 augmente, étant donné que des preuves de concept publiques ont déjà été publiées. Nous recommandons donc vivement à tous les utilisateurs de Microsoft Outlook d’appliquer les correctifs de sécurité fournis par Microsoft dès que possible. » Il a confirmé que Hornetsecurity détecte les courriels qui exploitent la vulnérabilité et les met en quarantaine pour empêcher les courriels d’atteindre la boîte de réception de la victime, et a ajouté : « Le laboratoire de sécurité de Hornetsecurity continue de surveiller le paysage des menaces pour s’assurer que les clients sont protégés contre les dernières cybermenaces. »L’exploitation a lieu avant même que le courriel ne s’affiche dans le volet de prévisualisation
L’exploit est initié par la récupération et le traitement d’un courriel malveillant par le client Outlook, ce qui peut conduire à l’exploitation avant même que le courriel ne soit affiché dans le volet de prévisualisation. Il déclenche une connexion de la victime à un emplacement contrôlé par l’attaquant. Il en résulte une fuite du hachage Net-NTLMv2 de la victime, un protocole défi-réponse utilisé pour l’authentification dans les environnements Windows. L’attaquant peut alors relayer cette information à un autre service et s’authentifier en tant que victime, compromettant ainsi davantage le système. La complexité de l’attaque est faible et, selon Microsoft, elle a été observée dans la nature, l’exploit ayant été utilisé pour cibler le gouvernement européen, l’armée, l’énergie et les organisations de transport. C’est le CERT-UA (Computer Emergency Response Team for Ukraine) qui a initialement signalé l’attaque à Microsoft. Une preuve de concept créée par l’équipe du laboratoire de sécurité de Hornetsecurity démontre que l’exploit est difficile à détecter puisque tous les services anti-malware et sandbox incorporés dans VirusTotal ont été incapables de le reconnaître comme malveillant.Actions recommandées
Pour obtenir une liste des versions affectées et des actions recommandées pour sécuriser votre organisation, veuillez cliquer ici.