Microsoft a corrigé cette semaine une vulnérabilité de sécurité qui pourrait être utilisée par des attaquants distants pour contourner les correctifs récents d’une faille de sécurité Outlook zero-day abusée à l’état sauvage.
Ce contournement sans clic (CVE-2023-29324) affecte toutes les versions prises en charge de Windows et a été signalé par le chercheur en sécurité d’Akamai, Ben Barnea.
« Toutes les versions de Windows sont affectées par la vulnérabilité. Par conséquent, toutes les versions du client Outlook sous Windows sont exploitables », a expliqué Barnea.
Le bogue Outlook zero-day corrigé en mars (CVE-2023-23397) est une faille d’escalade de privilèges dans le client Outlook pour Windows qui permet aux attaquants de voler les hachages NTLM sans interaction de l’utilisateur dans les attaques de relais NTLM.
Les acteurs de la menace peuvent l’exploiter en envoyant des messages avec des propriétés MAPI étendues contenant des chemins UNC vers des sons de notification personnalisés, ce qui oblige le client Outlook à se connecter aux partages SMB sous leur contrôle.
Microsoft a résolu le problème en incluant un appel MapUrlToZone pour s’assurer que les chemins UNC ne sont pas liés aux URL Internet et en remplaçant les sons par des rappels par défaut s’ils le faisaient.
Contournement pour l’élévation des privilèges sans clic d’Outlook
Lors de l’analyse de l’atténuation CVE-2023-23397, Barnea a découvert que l’URL dans les messages de rappel pouvait être modifiée pour inciter les vérifications MapUrlToZone à accepter les chemins distants comme chemins locaux.
Cela contourne le correctif de Microsoft et oblige le client Windows Outlook à se connecter au serveur de l’attaquant.
« Ce problème semble être le résultat de la gestion complexe des chemins dans Windows », explique Barnea.
À la lumière des conclusions de Barnea, Microsoft avertit que « les clients doivent installer les mises à jour pour CVE-2023-23397 et CVE-2023-29324 pour être entièrement protégés ».
Bien qu’Internet Explorer ait été retiré, la plate-forme MSHTML vulnérable est toujours utilisée par certaines applications via le contrôle WebBrowser, ainsi que par le mode Internet Explorer dans Microsoft Edge.
Pour cette raison, Redmond exhorte les clients à installer à la fois les mises à jour de sécurité de ce mois-ci et les mises à jour cumulatives d’IE publiées pour résoudre la vulnérabilité CVE-2023-29324 afin de rester entièrement protégés.
Exploité par des pirates de l’État russe pour le vol de données
Comme Microsoft l’a révélé dans un rapport d’analyse des menaces privées, il a été exploité par des pirates informatiques russes APT28 (alias STRONTIUM, Sednit, Sofacy ou Fancy Bear) dans des attaques contre au moins 14 organisations gouvernementales, militaires, énergétiques et de transport entre la mi-avril et Décembre 2022.
APT28 a été lié au service de renseignement militaire russe, la direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU).
Les acteurs de la menace ont utilisé des notes et des tâches Outlook malveillantes pour voler les hachages NTLM en forçant les appareils de leurs cibles à s’authentifier auprès des partages SMB contrôlés par l’attaquant.
Ces informations d’identification volées ont été utilisées pour les déplacements latéraux au sein des réseaux des victimes et pour modifier les autorisations de la boîte aux lettres Outlook afin d’exfiltrer les e-mails pour des comptes spécifiques.
Microsoft a publié un script pour aider les administrateurs Exchange à vérifier si leurs serveurs ont été piratés, mais leur a également conseillé de rechercher d’autres signes d’exploitation si les acteurs de la menace nettoyaient leurs traces.