Même la sécurité de messagerie classique ne vous protégera pas de cette vulnérabilité intelligente dans Outlook. Heureusement, vous n'êtes pas impuissant.

Les pirates recherchent constamment de nouvelles façons d'infiltrer les réseaux sécurisés. C'est un défi difficile car toutes les entreprises responsables investissent dans la sécurité. Une méthode qui sera toujours efficace, cependant, est l'utilisation de nouvelles vulnérabilités dans les produits logiciels populaires.

Une vulnérabilité a été récemment découverte dans Outlook qui permet aux pirates de voler des mots de passe en envoyant simplement un e-mail au titulaire du compte. Un correctif a été publié, mais de nombreuses entreprises n'ont pas encore mis à jour leur version d'Outlook.

Quelle est donc cette vulnérabilité et comment les entreprises peuvent-elles s'en protéger ?

Qu'est-ce que la vulnérabilité CVE-2023-23397?

La vulnérabilité CVE-2023-23397 est une vulnérabilité d'élévation de privilèges qui affecte Microsoft Outlook exécuté sur Windows.

Cette vulnérabilité aurait été utilisée d'avril à décembre 2022 par les acteurs des États-nations contre une grande variété d'industries. Un correctif a été publié en mars 2023.

Alors que la publication d'un patch signifie que les organisations peuvent facilement s'en défendre, le fait qu'il soit désormais largement diffusé signifie que le risque pour les entreprises qui ne le font pas a augmenté.

Il n'est pas rare que les vulnérabilités utilisées initialement par les États-nations soient largement utilisées par des pirates individuels et des groupes de pirates une fois que leur disponibilité est connue.

Qui est ciblé par la vulnérabilité de Microsoft Outlook?

La vulnérabilité CVE-2023-23397 n'est efficace que contre Outlook exécuté sur Windows. Les utilisateurs d'Android, d'Apple et du Web ne sont pas concernés et n'ont pas besoin de mettre à jour leur logiciel.

Il est peu probable que les particuliers soient ciblés, car cela n'est pas aussi rentable que de cibler une entreprise. Cependant, si un particulier utilise Outlook pour Windows, il doit quand même mettre à jour son logiciel.

Les entreprises sont susceptibles d'être la cible principale car beaucoup utilisent Outlook pour Windows pour protéger leurs données importantes. La facilité avec laquelle l'attaque peut être menée et le nombre d'entreprises qui utilisent le logiciel signifient que la vulnérabilité est susceptible de s'avérer populaire auprès des pirates.

Comment fonctionne la vulnérabilité?

Cette attaque utilise un e-mail avec des propriétés spécifiques qui amènent Microsoft Outlook à révéler le hachage NTLM de la victime. NTLM signifie New Technology LAN Master et ce hachage peut être utilisé pour l'authentification sur le compte de la victime.

L'e-mail acquiert le hachage à l'aide d'un MAPI étendu (Microsoft Outlook Messaging Application Programming Interface) qui contient le chemin d'un partage Server Message Block contrôlé par le attaquant.

Lorsqu'Outlook reçoit cet e-mail, il tente de s'authentifier auprès du partage SMB à l'aide de son hachage NTLM. Le pirate qui contrôle le partage SMB est alors en mesure d'accéder au hachage.

Pourquoi la vulnérabilité d'Outlook est-elle si efficace?

CVE-2023-23397 est une vulnérabilité efficace pour plusieurs raisons :

  • Outlook est utilisé par une grande variété d'entreprises. Cela le rend attrayant pour les pirates.
  • La vulnérabilité CVE-2023-23397 est facile à utiliser et ne nécessite pas beaucoup de connaissances techniques pour être mise en œuvre.
  • La vulnérabilité CVE-2023-23397 est difficile à défendre. La plupart des attaques par e-mail nécessitent que le destinataire interagisse avec l'e-mail. Cette vulnérabilité est efficace sans aucune interaction. Pour cette raison, la formation des employés à propos des e-mails de phishing ou leur dire de ne pas télécharger les pièces jointes des e-mails (c'est-à-dire les méthodes traditionnelles pour éviter les e-mails malveillants) n'a aucun effet.
  • Cette attaque n'utilise aucun type de logiciel malveillant. Pour cette raison, il ne sera pas détecté par un logiciel de sécurité.

Qu'arrive-t-il aux victimes de cette vulnérabilité?

La vulnérabilité CVE-2023-23397 permet à un attaquant d'accéder au compte de la victime. Le résultat dépend donc de ce à quoi la victime a accès. L'attaquant peut voler des données ou lancer une attaque de rançongiciel.

Si la victime a accès à des données privées, l'attaquant peut les voler. Dans le cas d'informations sur les clients, il peut être vendu sur le dark web. Ce n'est pas seulement problématique pour les clients mais aussi pour la réputation de l'entreprise.

L'attaquant peut également être en mesure de chiffrer des informations privées ou importantes à l'aide d'un rançongiciel. Après une attaque de ransomware réussie, toutes les données sont inaccessibles à moins que l'entreprise ne verse une rançon à l'attaquant (et même dans ce cas, les cybercriminels peuvent décider de ne pas déchiffrer les données).

Comment vérifier si vous êtes affecté par la vulnérabilité CVE-2023-23397

Si vous pensez que votre entreprise a peut-être déjà été affectée par cette vulnérabilité, vous pouvez vérifier votre système automatiquement à l'aide d'un script PowerShell de Microsoft. Ce script recherche vos fichiers et recherche les paramètres utilisés dans cette attaque. Après les avoir trouvés, vous pouvez les supprimer de votre système. Le script est accessible via Microsoft.

Comment se protéger contre cette vulnérabilité

Le moyen optimal de se protéger contre cette vulnérabilité consiste à mettre à jour tous les logiciels Outlook. Microsoft a publié un correctif le 14 mars 2023 et une fois installé, toute tentative d'attaque sera inefficace.

Bien que la correction des logiciels devrait être une priorité pour toutes les entreprises, si pour une raison quelconque, cela ne peut être réalisé, il existe d'autres moyens d'empêcher cette attaque de réussir. Ils comprennent:

  • Bloquer le TCP 445 sortant. Cette attaque utilise le port 445 et si aucune communication n'est possible via ce port, l'attaque échouera. Si vous avez besoin du port 445 à d'autres fins, vous devez surveiller tout le trafic sur ce port et bloquer tout ce qui va à une adresse IP externe.
  • Ajoutez tous les utilisateurs au groupe de sécurité des utilisateurs protégés. Aucun utilisateur de ce groupe ne peut utiliser NTLM comme méthode d'authentification. Il est important de noter que cela peut également interférer avec toutes les applications qui reposent sur NTLM.
  • Demandez à tous les utilisateurs de désactiver le paramètre Afficher les rappels dans Outlook. Cela peut empêcher l'accès aux informations d'identification NTLM par l'attaquant.
  • Demandez à tous les utilisateurs de désactiver le service WebClient. Il est important de noter que cela empêchera toute connexion WebDev y compris sur intranet et n'est donc pas forcément une option adaptée.

Vous devez corriger la vulnérabilité CVE-2023-23397

La vulnérabilité CVE-2023-23397 est importante en raison de la popularité d'Outlook et de la quantité d'accès qu'il fournit à un attaquant. Une attaque réussie permet au cyberattaquant d'accéder au compte de la victime qui peut être utilisé pour voler ou chiffrer des données.

La seule façon de se protéger correctement contre cette attaque est de mettre à jour le logiciel Outlook avec le correctif nécessaire que Microsoft a mis à disposition. Toute entreprise qui ne le fait pas est une cible attrayante pour les pirates.