Les pirates informatiques sont constamment à la recherche de nouveaux moyens d’infiltrer les réseaux sécurisés. C’est un défi difficile à relever car toutes les entreprises responsables investissent dans la sécurité. Une méthode qui sera toujours efficace, cependant, est l’utilisation de nouvelles vulnérabilités dans les produits logiciels populaires.
Une vulnérabilité a récemment été découverte dans Outlook, qui permet aux pirates de voler des mots de passe en envoyant simplement un courrier électronique au titulaire du compte. Un correctif a été publié, mais de nombreuses entreprises n’ont pas encore mis à jour leur version d’Outlook.
Qu’est-ce que cette vulnérabilité et comment les entreprises peuvent-elles s’en prémunir ?
Qu’est-ce que la vulnérabilité CVE-2023-23397 ?
La vulnérabilité CVE-2023-23397 est une vulnérabilité d’élévation de privilèges qui affecte Microsoft Outlook fonctionnant sous Windows.
Cette vulnérabilité aurait été utilisée d’avril à décembre 2022 par des acteurs étatiques à l’encontre d’une grande variété d’industries. Un correctif a été publié en mars 2023.
Bien que la publication d’un correctif signifie que les organisations peuvent facilement se défendre contre cette vulnérabilité, le fait qu’elle soit maintenant fortement médiatisée signifie que le risque pour les entreprises qui n’appliquent pas de correctif a augmenté.
Il n’est pas rare que des vulnérabilités utilisées initialement par des États-nations soient largement utilisées par des pirates individuels et des groupes de pirates une fois que leur disponibilité est connue.
Qui est visé par la vulnérabilité de Microsoft Outlook ?
La vulnérabilité CVE-2023-23397 n’est efficace que contre Outlook fonctionnant sous Windows. Les utilisateurs d’Android, d’Apple et du web ne sont pas concernés et n’ont pas besoin de mettre à jour leur logiciel.
Il est peu probable que les particuliers soient ciblés, car cela n’est pas aussi rentable que de cibler une entreprise. Cependant, si un particulier utilise Outlook pour Windows, il doit quand même mettre à jour son logiciel.
Les entreprises sont susceptibles d’être la cible principale car beaucoup d’entre elles utilisent Outlook pour Windows afin de protéger leurs données importantes. La facilité avec laquelle l’attaque peut être menée, et le nombre d’entreprises qui utilisent le logiciel, signifient que la vulnérabilité est susceptible d’être populaire auprès des pirates.
Comment fonctionne la vulnérabilité ?
Cette attaque utilise un courriel avec des propriétés spécifiques qui amènent Microsoft Outlook à révéler le hachage NTLM de la victime. NTLM signifie New Technology LAN Master et ce hachage peut être utilisé pour l’authentification du compte de la victime.
Le courrier électronique acquiert le hachage en utilisant une propriété MAPI (Microsoft Outlook Messaging Application Programming Interface) étendue qui contient le chemin d’un partage Server Message Block contrôlé par l’attaquant.
Lorsque Outlook reçoit ce courrier électronique, il tente de s’authentifier auprès du partage SMB à l’aide de son hachage NTLM. Le pirate qui contrôle le partage SMB est alors en mesure d’accéder au hachage.
Pourquoi la vulnérabilité d’Outlook est-elle si efficace ?
CVE-2023-23397 est une vulnérabilité efficace pour un certain nombre de raisons :
- Outlook est utilisé par un grand nombre d’entreprises. Cela le rend attrayant pour les pirates.
- La vulnérabilité CVE-2023-23397 est facile à utiliser et sa mise en œuvre ne nécessite pas de grandes connaissances techniques.
- La vulnérabilité CVE-2023-23397 est difficile à défendre. La plupart des attaques basées sur le courrier électronique exigent que le destinataire interagisse avec le courrier. Cette vulnérabilité est efficace sans aucune interaction. C’est pourquoi le fait d’informer les employés sur les courriels d’hameçonnage ou de leur dire de ne pas télécharger les pièces jointes (c’est-à-dire les méthodes traditionnelles pour éviter les courriels malveillants) n’a aucun effet.
- Cette attaque n’utilise aucun type de logiciel malveillant. C’est pourquoi elle ne sera pas détectée par les logiciels de sécurité.
Que se passe-t-il pour les victimes de cette vulnérabilité ?
La vulnérabilité CVE-2023-23397 permet à un attaquant d’accéder au compte de la victime. Le résultat dépend donc de ce à quoi la victime a accès. L’attaquant peut voler des données ou lancer une attaque par ransomware.
Si la victime a accès à des données privées, l’attaquant peut les voler. Dans le cas des informations sur les clients, elles peuvent être vendues sur le dark web. Ce n’est pas seulement problématique pour les clients, mais aussi pour la réputation de l’entreprise.
L’attaquant peut également être en mesure de crypter des informations privées ou importantes à l’aide d’un ransomware. Après une attaque réussie par ransomware, toutes les données sont inaccessibles à moins que l’entreprise ne paie une rançon à l’attaquant (et même dans ce cas, les cybercriminels peuvent décider de ne pas décrypter les données).
Comment vérifier si vous êtes affecté par la vulnérabilité CVE-2023-23397
Si vous pensez que votre entreprise a déjà été touchée par cette vulnérabilité, vous pouvez vérifier votre système automatiquement à l’aide d’un script PowerShell de Microsoft. Ce script recherche dans vos fichiers les paramètres utilisés dans cette attaque. Après les avoir trouvés, vous pouvez les supprimer de votre système. Le script est accessible via Microsoft.
Comment se protéger contre cette vulnérabilité
La meilleure façon de se protéger contre cette vulnérabilité est de mettre à jour tous les logiciels Outlook. Microsoft a publié un correctif le 14 mars 2023, et une fois installé, toute tentative d’attaque sera inefficace.
Bien que la mise à jour des logiciels devrait être une priorité pour toutes les entreprises, si, pour une raison ou une autre, cela n’est pas possible, il existe d’autres moyens d’empêcher cette attaque de réussir. Ces moyens sont les suivants :
- Bloquer le TCP 445 sortant. Cette attaque utilise le port 445 et si aucune communication n’est possible via ce port, l’attaque échouera. Si vous avez besoin du port 445 à d’autres fins, vous devez surveiller tout le trafic sur ce port et bloquer tout ce qui va vers une adresse IP externe.
- Ajouter tous les utilisateurs au groupe de sécurité Protected User. Tout utilisateur de ce groupe ne peut pas utiliser NTLM comme méthode d’authentification. Il est important de noter que cela peut également interférer avec les applications qui s’appuient sur NTLM.
- Demander à tous les utilisateurs de désactiver le paramètre Afficher les rappels dans Outlook. Cela peut empêcher l’attaquant d’accéder aux informations d’identification NTLM.
- Demande à tous les utilisateurs de désactiver le service WebClient. Il est important de noter que cela empêchera toutes les connexions WebDev, y compris sur l’intranet, et n’est donc pas nécessairement une option appropriée.
Vous devez appliquer un correctif contre la vulnérabilité CVE-2023-23397
La vulnérabilité CVE-2023-23397 est importante en raison de la popularité d’Outlook et de la quantité d’accès qu’elle offre à un attaquant. Une attaque réussie permet au cyber-attaquant d’accéder au compte de la victime, ce qui peut être utilisé pour voler ou crypter des données.
La seule façon de se protéger correctement contre cette attaque est de mettre à jour le logiciel Outlook avec le correctif nécessaire que Microsoft a mis à disposition. Toute entreprise qui ne le fait pas est une cible attrayante pour les pirates.
