Une vulnérabilité récemment détectée dans Microsoft Outlook peut contaminer un compte sans avoir à ouvrir un e-mail. Voici comment protéger vos comptes d’entreprise.
La semaine dernière, Microsoft a signalé pour la première fois la présence de la CVE-2023-23397, qui a été immédiatement qualifiée comme critique. Les experts en sécurité affirment tous que cet avertissement n’est pas exagéré. Les attaquants peuvent exploiter la vulnérabilité sans que la victime n’ait à cliquer sur quelque chose. L’attaque ne se fonde donc pas sur la négligence des utilisateurs, comme c’est le cas pour de nombreuses méthodes d’attaque classiques.
Tout ce qu’un attaquant doit faire est d’envoyer un e-mail contenant des notes ou des tâches à la victime. Le contenu de l’e-mail peut inciter Outlook à se connecter automatiquement à un site UNC distant du pirate vers lequel votre authentification NTLM 2 est envoyée. Cela permet à l’attaquant de prendre le contrôle de votre compte avant même que vous n’ayez cliqué sur l’e-mail. La vulnérabilité affecte le client Windows d’Outlook et les comptes Outlook connectés à un serveur Exchange.
Effet boule de neige
Les versions web et mobile sont peut-être hors de danger, mais le champ d’attaque de cette vulnérabilité est particulièrement étendu. Les experts en sécurité craignent que presque tous les utilisateurs d’Outlook soient potentiellement exposés à un risque d’une manière ou d’une autre. Pour cette raison, la vulnérabilité CVE-2023-23397 est déjà considérée comme l’une des vulnérabilités Outlook les plus dangereuses à ce jour.
Le fait que les informations concernant la vulnérabilité aient été rendues publiques par Microsoft est également une source d’inquiétude. Généralement, les détails concernant les zero days sont publiés dès qu’un correctif est déployé. Les organisations ont ainsi la possibilité de corriger la fuite en priorité. Mais comme les organisations ne sont pas toujours très promptes à le faire, on se trouve maintenant dans une phase dangereuse où les attaquants savent aussi comment exploiter la vulnérabilité.
Cette situation risque de créer un effet « boule de neige » et il se pourrait bien que de nombreuses attaques exploitent cette vulnérabilité dans les jours à venir. Pour la victime, les conséquences varient entre le vol de données, la diffusion de malwares ou la rupture des communications quotidiennes et des activités commerciales, en fonction des droits du compte compromis.
Comment protéger votre organisation
La solution la plus évidente serait d’installer les dernières mises à jour disponibles pour le client de messagerie Outlook et Exchange. Cela risque d’interférer avec la configuration du système de messagerie, peut-on lire sur Dark Reading. Il existe d’autres mesures de sécurité que vous pouvez prendre, notamment le blocage du trafic TCP 445/SMB à l’aide d’un pare-feu ou d’un VPN afin de bloquer les jetons NTLM et l’ajout de tous les utilisateurs actifs dans des groupes sécurisés.