Risque
- Élévation de privilèges
Systèmes affectés
- Microsoft 365 Apps pour Entreprise pour systèmes 32 bits
- Microsoft 365 Apps pour Entreprise pour systèmes 64 bits
- Microsoft Office 2019 pour éditions 32 bits
- Microsoft Office 2019 pour éditions 64 bits
- Microsoft Office LTSC 2021 pour éditions 32 bits
- Microsoft Office LTSC 2021 pour éditions 64 bits
- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Outlook 2013 Service Pack 1 (éditions 32 bits)
- Microsoft Outlook 2013 Service Pack 1 (éditions 64 bits)
- Microsoft Outlook 2016 (édition 32 bits)
- Microsoft Outlook 2016 (édition 64 bits)
Résumé
[mise à jour du 11 mai 2023] Possibilité de contournement du correctif proposé par l'éditeur par le biais de la CVE-2023-29324
[mise à jour du 20 avril 2023] clarification de la recommandation pour le filtrage du flux SMB
[mise à jour du 29 mars 2023] complément d'information et
recommandation
En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l'existence d'une vulnérabilité CVE-2023-23397 affectant diverses versions du produit Outlook pour Windows qui permet à un attaquant de récupérer le condensat Net-NTLMv2 (new technology LAN manager).
Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance d'une première preuve de concept publique (non encore qualifiée).
La vulnérabilité ne requiert pas d'intervention de l'utilisateur. Elle est déclenchée lorsqu'un attaquant envoie un message contenant un lien UNC (Universal Naming Convention) vers une ressource partagée en SMB hébergée sur un serveur qui serait sous contrôle de l'attaquant. Durant la connexion SMB au serveur malveillant, le message d’authentification NTLM pour la négociation de l'authentification est envoyé, l'attaquant peut ainsi le relayer auprès d'autres services supportant ce type d'authentification pour obtenir un accès valide.
L'éditeur indique que les version d'Outlook pour Android, iOS, Mac, mais aussi la version web et les services M365 ne sont pas vulnérables.
Microsoft a publié un code Powershell et une documentation permettant de vérifier si un système a été la cible d'une attaque. Le script remonte les courriels, tâches et invitations de calendrier pointant vers un partage potentiellement non-maîtrisé. Ces éléments doivent être passés en revue afin de déterminer leur légitimité et, dans le cas contraire, ils doivent faire l'objet d'une investigation (contrôler l'existence de connexions sortantes associées, lister les connexions réalisées à l'aide du compte utilisateur, etc.) pour prendre les mesures de remédiation appropriées.
[mise à jour du 20 avril 2023] Le 24 mars 2023, Microsoft a publié un guide d'investigation documentant les différents contrôles à mener et les indicateurs de compromission à chercher. Il convient de noter que ce guide apporte plusieurs éléments techniques qui sont également à prendre en compte :
- Pour prévenir une exploitation menée par un attaquant utilisant une machine distante pour collecter les condensats Net-NTLMv2, il convient d'interdire les flux SMB en sortie du système d'information (TCP/445). Cette règle s'impose également aux postes nomades, dont les flux doivent être sécurisés (cf. les règles R16 à R18 du guide ANSSI pour le nomadisme numérique [2]).
- La mise à jour de sécurité de Microsoft Exchange Server du mois de mars 2023 permet de prévenir l'exploitation de la vulnérabilité en supprimant automatiquement les courriels dont la propriété PidLidReminderFileParameter est définie. Ce correctif ne corrige pas la vulnérabilité intrinsèque au client Outlook mais empêche son exploitation.
[mise à jour du 11 mai 2023] Le 9 mai, Microsoft a publié un correctif pour une vulnérabilité dont l'identifiant est CVE-2023-29324. Cette vulnérabilité permet de continuer à exploiter la vulnérabilité CVE-2023-23397 avec un lien UNC spécialement construit par l'attaquant [3] si le correctif de sécurité de mars 2023 pour les serveurs Microsoft Exchange n'a pas été appliqué (cf. la mise à jour de l'alerte du 20 avril).
Afin de respecter le principe de défense en profondeur, le CERT-FR recommande d'appliquer la mise à jour de mai 2023 (correction de la vulnérabilité CVE-2023-29324).
Solution
Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par Microsoft, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
[mise à jour du 29 mars 2023] Le CERT-FR recommande fortement d'appliquer la mise à jour de sécurité de mars 2023 pour Microsoft Exchange Server.
[mise à jour du 29 mars 2023] Le CERT-FR recommande fortement d'appliquer les mises à jour de sécurité de mars et de mai 2023 pour Microsoft Exchange Server.
Documentation
- [1] Guide d'investigation Microsoft du 24 mars 2023 https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/
- Billet de blogue Microsoft du 14 mars 2023 https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
- [2] Guide ANSSI pour le nomadisme numérique https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- [3] Billet de blog du découvreur de la CVE-2023-29324 https://www.akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api
- Avis CERTFR-2023-AVI-0231 du 15 mars 2023 https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0231/
- Avis CERTFR-2023-AVI-0234 du 15 mars 2023 https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0234/
- Bulletin de sécurité Microsoft CVE-2023-23397 du 14 mars 2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
- Documentation et code Powershell fournis par Microsoft pour l'identification de compromission https://aka.ms/CVE-2023-23397ScriptDoc
- Les bons réflexes en cas d’intrusion sur un système d’information https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
- Référence CVE CVE-2023-23397 https://www.cve.org/CVERecord?id=CVE-2023-23397
- Référence CVE CVE-2023-29324 https://www.cve.org/CVERecord?id=CVE-2023-29324