Mardi 14 mars 2023, Microsoft a publié une mise à jour de sécurité pour corriger 80 failles de sécurité dans ses systèmes d’exploitation. Parmi ces 80 vulnérabilités, deux d’entre elles sont particulièrement critiques, car elles sont activement exploitées par les cybercriminels :
- CVE-2023-23397 (score CVSS : 9.8) : Vulnérabilité de type « zero day » dans Microsoft Outlook qui permet une escalade des privilèges.
- CVE-2023-24880 (score CVSS : 5.1) : Permet de contourner la fonction de sécurité SmartScreen de Windows.
Microsoft corrige, entre autres, une vulnérabilité de type « zero-day » (CVE-2023-23397) qui était exploitée par un groupe (enregistré comme APT28, STRONIUM, Sednit, Sofacy et Fancy Bear) lié aux services de renseignement militaire russes et dont les principales cibles étaient des organisations européennes.
Cette vulnérabilité a été signalée par le CERT-UA, l’équipe ukrainienne d’intervention en cas d’urgence informatique. Il s’agit d’une faille de sécurité critique dans Outlook qui permet l’élévation des privilèges, cette vulnérabilité pouvant être exploitée sans interaction de l’utilisateur.
Les preuves révèlent que les gouvernements, les industries de la logistique, du pétrole, de la défense et du transport dans des pays tels que la Pologne, l’Ukraine, la Roumanie et la Turquie ont été victimes depuis avril 2022. Ces organisations peuvent avoir été ciblées à des fins de renseignement stratégique ou dans le cadre de la préparation de cyberattaques à l’intérieur et à l’extérieur de l’Ukraine.
L’attaquant peut exploiter cette vulnérabilité en envoyant un courriel spécialement conçu qui est automatiquement déclenché lorsque le client Outlook le récupère et le traite. Cela pourrait conduire à une exploitation AVANT que le courriel ne soit visualisé dans le volet de prévisualisation.
Extrait d’un avis de sécurité de Microsoft concernant cette vulnérabilité.
Pour être plus précis, les attaquants peuvent exploiter cette vulnérabilité en envoyant des messages avec des propriétés MAPI étendues contenant des chemins UNC vers un SMB partagé (TCP 445) sous leur contrôle. Cette connexion au serveur SMB distant envoie le message de négociation NTLM de l’utilisateur. En possession de ce message, l’attaquant peut le transmettre à un autre service et ainsi s’authentifier en tant que victime.
Windows New Technology Manager (NTLM) est une méthode d’authentification utilisée pour se connecter à des domaines Windows à l’aide d’identifiants de connexion hachés. Bien que ce type d’authentification comporte certains risques, il est toujours utilisé sur les nouveaux systèmes afin d’assurer une compatibilité ascendante. Il fonctionne avec des mots de passe hachés que le serveur reçoit du client lorsqu’il tente d’accéder à des ressources partagées, telles que les SMB ; ces hachages, s’ils sont volés, peuvent être utilisés pour s’authentifier auprès de plusieurs services et se déplacer latéralement.
La vulnérabilité CVE-2023-23397 affecte toutes les versions prises en charge de Microsoft Outlook pour Windows, mais n’affecte PAS les versions d’Outlook pour Android, iOS ou macOS. De plus, comme les versions en ligne (telles que Outlook web ou Microsoft 365), ne prennent pas en charge l’authentification NTLM, elles ne sont pas vulnérables aux attaques qui visent à exploiter ces vulnérabilités NTLM, bien qu’il faille noter qu’il existe des organisations qui utilisent O365 qui peuvent encore être vulnérables si leurs utilisateurs utilisent le client Outlook pour Windows et autorisent l’authentification NTLM pour d’autres services.
Il convient également de noter la deuxième vulnérabilité exploitée, CVE-2023-24880 ; cette vulnérabilité permet de contourner la fonction de sécurité de la technologie SmartScreen.
La technologie SmartScreen a été installée dans Microsoft Edge et dans le système d’exploitation Windows pour protéger les utilisateurs contre le téléchargement de logiciels malveillants par hameçonnage ou ingénierie sociale.
Cette vulnérabilité fait suite à un correctif de sécurité limité publié par Microsoft l’année dernière pour remédier à une autre vulnérabilité de SmartScreen (CVE-2022-44698, CVSS score : 5.4) qui a été exploitée par des attaquants motivés pour déployer le ransomware « Magniber ».
La cause du contournement de SmartScreen n’ayant pas été abordée, les attaquants ont pu identifier une variante différente du bogue original.
Le groupe d’analyse des menaces de Google (TAG) a signalé que plus de 10 000 téléchargements de fichiers MSI malveillants signés avec une signature Authenticode malformée ont été observés depuis janvier 2023, permettant potentiellement aux attaquants de distribuer le ransomware « Magniber » sans déclencher d’alerte de sécurité. La plupart des téléchargements sont associés à des utilisateurs européens.
Microsoft a également comblé un certain nombre de vulnérabilités critiques d’exécution de code à distance affectant la pile de protocole HTTP (CVE-2023-23392 , CVSS score : 9.8), le protocole ICMP (CVE-2023-23415 , CVSS score : 9.8) et le Remote Procedure Call Runtime (CVE-2023-21708, CVSS score : 9.8).
Recommandations
Il est recommandé d’appliquer la mise à jour de sécurité immédiatement.
Restreindre le trafic SMB sortant : Dans un environnement d’entreprise traditionnel, cela peut se faire à l’aide de pare-feu périmétriques, de proxies web ou de pare-feu basés sur l’hôte (solution idéale). Si des terminaux décentralisés avec Outlook sont utilisés, il est recommandé d’utiliser une technologie proxy basée sur le web pour bloquer le trafic SMB sortant vers des sous-réseaux non RFC1918. Si une technologie de proxy basée sur le web n’est pas disponible, le pare-feu de l’hôte peut être utilisé pour bloquer les connexions SMB sortantes vers des sous-réseaux non RFC1918.
Restreindre l’utilisation de l’authentification NTLM : utiliser le groupe de sécurité Protected Users dans Active Directory pour les comptes sensibles. Cela empêche les comptes assignés à ce groupe d’utiliser NTLM et force l’utilisation de Kerberos. L’utilisation du mappage de comptes à ce groupe de sécurité présente quelques inconvénients :
- Elle nécessite un niveau fonctionnel de domaine d’au moins 2012R2.
- Les services ou les systèmes hérités qui utilisent l’authentification NTLM échoueront.
- Il n’est pas recommandé d’ajouter des comptes de service ou des comptes d’ordinateur à ce groupe.
- Attention, l’utilisation d’informations d’identification mises en cache ne fonctionnera pas.
- Les comptes dont les hachages ne sont pas de type AES (typiquement les comptes créés historiquement au niveau fonctionnel d’un domaine 2003) nécessiteront une réinitialisation du mot de passe pour fonctionner.
Un script a également été publié pour vérifier si l’organisation a été attaquée. Il est disponible ici. Les tâches, les courriels et les éléments de calendrier qui sont détectés et qui pointent vers un partage non reconnu doivent être vérifiés pour déterminer s’ils sont malveillants. Si des objets sont détectés, ils doivent être supprimés ou le paramètre doit être supprimé. Si aucun objet n’est détecté, il est peu probable que l’organisation ait été attaquée via CVE-2023-23397.
Plus d’information:
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
