p

Si vous utilisez le logiciel de messagerie Outlook, assurez-vous d'avoir bien fait les dernières mises à jour Windows et Outlook

Des hackers utilisent actuellement des campagnes e-mail pour exploiter une faille Outlook « sans clic » sur des versions du logiciel de messagerie qui ne seraient pas à jour.

À retenir :

Des vagues d’attaques e-mail sont actuellement en cours, elles ciblent des utilisateurs du logiciel de messagerie Outlook qui ne serait pas à jour.

Les hackers envoient par e-mail des fichiers audio malveillants qui s’exécutent automatiquement, sans que l’utilisateur ne clique sur le fichier pour l’ouvrir.

Les failles de sécurité qui permettent ces attaques ont fait l’objet de correctifs au mois d’août et d’octobre, il est donc important de vérifier que votre version de Windows ainsi que votre version d’Outlook soient à jour.

Les e-mails malveillants qui circulent actuellement sont bloqués par notre système Antivirus et Antispam EndiGuard.Mel, présent sur nos services d’hébergement e-mail mutualisés ou disponible en stand-alone pour vos services de messagerie.

Détails techniques :

Des détails techniques ont été révélés sur deux failles de sécurité désormais corrigées dans Microsoft Windows qui sont utilisées conjointement par des acteurs malveillants pour permettre l’exécution de code à distance (RCE – Remote Code Execution) sur le service de messagerie Outlook sans aucune interaction de l’utilisateur.

Les problèmes de sécurité, qui ont été résolus par Microsoft en août et octobre 2023, respectivement, sont répertoriés ci-dessous :
– CVE-2023-35384 (score CVSS : 5,4) – Vulnérabilité de contournement de la fonctionnalité de sécurité des plates-formes HTML Windows
– CVE-2023-36710 (score CVSS : 7,8) – Vulnérabilité d’exécution de code à distance principale de Windows Media Foundation

La vulnérabilité CVE-2023-35384 a été décrite par Akamai comme un contournement d’une faille de sécurité critique que Microsoft a corrigée en mars 2023. Suivi comme CVE-2023-23397 (score CVSS : 9,8), elle concerne un cas d’élévation de privilèges qui pourrait entraîner le vol des identifiants NTLM et permettre à un attaquant de mener une attaque relais.

Plus tôt ce mois-ci, Microsoft a révélé qu’un groupe malveillant connu sous le nom d’APT28 (alias Forest Blizzard) exploitait activement le bug pour obtenir un accès non autorisé aux victimes, pour prendre la main sur les serveurs Exchange.

Il convient de noter que CVE-2023-35384 est le deuxième contournement de correctif après CVE-2023-29324, corrigé par Microsoft dans le cadre des mises à jour de sécurité de mai 2023.

Un autre contournement de la vulnérabilité d’origine d’Outlook a été trouvé, il permet de contraindre le client e-mail à se connecter à un serveur contrôlé par un attaquant et à télécharger un fichier audio malveillant.

CVE-2023-35384, constitue également un souci dans l’analyse du chemin par la fonction MapUrlToZone qui pourrait être exploité en envoyant un e-mail contenant un fichier malveillant ou une URL à un client Outlook.

« Il existe une vulnérabilité de contournement des fonctionnalités de sécurité lorsque la plate-forme MSHTML ne parvient pas à valider la zone de sécurité correcte des requêtes pour des URL spécifiques. Cela pourrait permettre à un attaquant d’amener un utilisateur à accéder à une URL dans une zone de sécurité Internet moins restreinte que prévue » explique Microsoft dans son bulletin.

La vulnérabilité peut non seulement être utilisée pour divulguer des informations d’identification NTLM, mais peut également être enchaînée avec la faille d’analyse du son (CVE-2023-36710) pour télécharger un fichier son personnalisé qui, lorsqu’il est lu automatiquement à l’aide d’Outlook, peut conduire à une exécution de code sans clic sur la machine de la victime.

CVE-2023-36710 affecte le composant Audio Compression Manager (ACM), un ancien framework multimédia Windows utilisé pour gérer les codecs audio et est le résultat d’une vulnérabilité de dépassement de buffer d’entier qui se produit lors de la lecture d’un fichier WAV.

Pour atténuer les risques, il est recommandé aux utilisateur de bloquer par une couche firewall les connexions SMB sortantes vers des adresses IP distantes.
De plus, il est également conseillé soit de désactiver NTLM, soit d’ajouter des utilisateurs au Groupe de sécurité Utilisateurs protégés, ce qui empêche l’utilisation de NTLM comme mécanisme d’authentification.