{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Office LTSC 2021 pour \u00e9ditions 64 bits","product":{"name":"Office","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Office LTSC 2021 pour \u00e9ditions 32 bits","product":{"name":"Office","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Office 2019 pour \u00e9ditions 32 bits","product":{"name":"Office","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft 365 Apps pour Entreprise pour syst\u00e8mes 32 bits","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft 365 Apps pour Entreprise pour syst\u00e8mes 64 bits","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Outlook 2013 RT Service Pack 1","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Office 2019 pour \u00e9ditions 64 bits","product":{"name":"Office","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Outlook 2013 Service Pack 1 (\u00e9ditions 64 bits)","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Outlook 2013 Service Pack 1 (\u00e9ditions 32 bits)","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Outlook 2016 (\u00e9dition 64 bits)","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Outlook 2016 (\u00e9dition 32 bits)","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2023-07-26","content":"## Solution\n\nLe CERT-FR recommande fortement d\u2019appliquer la mise \u00e0 jour fournie par\nMicrosoft, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\nl'obtention des correctifs (cf. section Documentation).\n\n**\\[mise \u00e0 jour du 29 mars 2023\\]** Le CERT-FR recommande fortement\nd'appliquer la mise \u00e0 jour de s\u00e9curit\u00e9 de mars 2023 pour Microsoft\nExchange Server.\n\n<span style=\"color: #ff0000;\">**\\[mise \u00e0 jour du 29 mars 2023\\]**</span>\nLe CERT-FR recommande fortement d'appliquer les mises \u00e0 jour de s\u00e9curit\u00e9\nde mars <u>et</u> de mai 2023 pour Microsoft Exchange Server.\n","cves":[{"name":"CVE-2023-23397","url":"https://www.cve.org/CVERecord?id=CVE-2023-23397"},{"name":"CVE-2023-29324","url":"https://www.cve.org/CVERecord?id=CVE-2023-29324"}],"links":[{"title":"[3] Billet de blog du d\u00e9couvreur de la CVE-2023-29324","url":"https://www.akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2023-23397 du 14 mars 2023","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397"},{"title":"Documentation et code Powershell fournis par Microsoft pour l'identification de compromission","url":"https://aka.ms/CVE-2023-23397ScriptDoc"},{"title":"[2] Guide ANSSI pour le nomadisme num\u00e9rique","url":"https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"},{"title":"Avis CERTFR-2023-AVI-0231 du 15 mars 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0231/"},{"title":"Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"Avis CERTFR-2023-AVI-0234 du 15 mars 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0234/"}],"reference":"CERTFR-2023-ALE-002","revisions":[{"description":"Version initiale","revision_date":"2023-03-15T00:00:00.000000"},{"description":"Clarifications mineures","revision_date":"2023-03-16T00:00:00.000000"},{"description":"clarification de la recommadation pour le filtrage du flux SMB","revision_date":"2023-04-20T00:00:00.000000"},{"description":"Ajout d'informations concernant la vuln\u00e9rabilit\u00e9 CVE-2023-29324","revision_date":"2023-05-11T00:00:00.000000"}],"risks":[{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"<span style=\"color: #ff0000;\"><strong>\\[mise \u00e0 jour du 11 mai 2023\\]\nPossibilit\u00e9 de contournement du correctif propos\u00e9 par l'\u00e9diteur par le\nbiais de la CVE-2023-29324</strong></span>\n\n<strong>\\[mise \u00e0 jour du 20 avril 2023\\] clarification de la recommandation\npour le filtrage du flux SMB</strong>\n\n<strong>\\[mise \u00e0 jour du 29 mars 2023\\] compl\u00e9ment d'information et\nrecommandation  \n</strong>\n\nEn date du 14 mars 2023, <span class=\"mx_EventTile_body\" dir=\"auto\">lors\nde sa mise \u00e0 jour mensuelle</span>, Microsoft a indiqu\u00e9 l'existence\nd'une vuln\u00e9rabilit\u00e9 CVE-2023-23397 affectant diverses versions du\nproduit Outlook pour Windows qui permet \u00e0 un attaquant <span\nclass=\"mx_EventTile_body\" dir=\"auto\">de r\u00e9cup\u00e9rer le condensat\n</span>*Net-NTLMv2* (*new technology LAN manager*).\n\nMicrosoft indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e dans\nle cadre d'attaques cibl\u00e9es. Par ailleurs, le CERT-FR a connaissance\nd'une premi\u00e8re preuve de concept publique (non encore qualifi\u00e9e).\n\nLa vuln\u00e9rabilit\u00e9 ne requiert pas d'intervention de l'utilisateur. Elle\nest d\u00e9clench\u00e9e lorsqu'un attaquant envoie un message contenant un\nlien\u00a0*UNC* (*Universal Naming Convention*) vers une ressource partag\u00e9e\nen *SMB* h\u00e9berg\u00e9e sur un serveur qui serait sous contr\u00f4le de\nl'attaquant. Durant la connexion *SMB* au serveur malveillant, le <span\nclass=\"mx_EventTile_body\" dir=\"auto\">message d\u2019authentification</span>\n*NTLM* pour la n\u00e9gociation de l'authentification est envoy\u00e9, l'attaquant\npeut ainsi le relayer aupr\u00e8s d'autres services supportant ce type\nd'authentification pour obtenir un acc\u00e8s valide.\n\nL'\u00e9diteur indique que les version d'Outlook pour Android, iOS, Mac, mais\naussi la version web et les services M365 ne sont pas vuln\u00e9rables.\n\nMicrosoft a publi\u00e9 un code Powershell et une documentation permettant de\nv\u00e9rifier si un syst\u00e8me a \u00e9t\u00e9 la cible d'une attaque. Le script remonte\nles courriels, t\u00e2ches et invitations de calendrier pointant vers un\npartage potentiellement non-ma\u00eetris\u00e9. Ces \u00e9l\u00e9ments doivent \u00eatre pass\u00e9s\nen revue afin de d\u00e9terminer leur l\u00e9gitimit\u00e9 et, dans le cas contraire,\nils doivent faire l'objet d'une investigation (contr\u00f4ler l'existence de\nconnexions sortantes associ\u00e9es, lister les connexions r\u00e9alis\u00e9es \u00e0 l'aide\ndu compte utilisateur, etc.) pour prendre les mesures de rem\u00e9diation\nappropri\u00e9es.\n\n<strong>\\[mise \u00e0 jour du 20 avril 2023\\]</strong> Le 24 mars 2023, Microsoft a publi\u00e9\nun guide d'investigation documentant les diff\u00e9rents contr\u00f4les \u00e0 mener et\nles indicateurs de compromission \u00e0 chercher. Il convient de noter que ce\nguide apporte plusieurs \u00e9l\u00e9ments techniques qui sont \u00e9galement \u00e0 prendre\nen compte :\n\n-   Pour pr\u00e9venir une exploitation men\u00e9e par un attaquant utilisant une\n    machine distante pour collecter les condensats *Net-NTLMv2*, il\n    convient d'interdire les flux *SMB* <u>en sortie du syst\u00e8me\n    d'information</u> (TCP/445). Cette r\u00e8gle s'impose \u00e9galement aux\n    postes nomades, dont les flux doivent \u00eatre s\u00e9curis\u00e9s (cf. les r\u00e8gles\n    R16 \u00e0 R18 du guide ANSSI pour le nomadisme num\u00e9rique \\[2\\]).\n-   <span class=\"mx_EventTile_body markdown-body\" dir=\"auto\">La mise \u00e0\n    jour de s\u00e9curit\u00e9 de Microsoft Exchange Server du mois de mars 2023\n    permet de pr\u00e9venir l'exploitation de la vuln\u00e9rabilit\u00e9 en supprimant\n    automatiquement les courriels dont la propri\u00e9t\u00e9\n    *PidLidReminderFileParameter* est d\u00e9finie. Ce correctif ne corrige\n    pas la vuln\u00e9rabilit\u00e9 intrins\u00e8que au client Outlook mais emp\u00eache son\n    exploitation.</span>\n\n<span style=\"color: #ff0000;\"><strong>\\[mise \u00e0 jour du 11 mai 2023\\]</strong>\n</span>Le 9 mai, Microsoft a publi\u00e9 un correctif pour une vuln\u00e9rabilit\u00e9\ndont l'identifiant est CVE-2023-29324. Cette vuln\u00e9rabilit\u00e9 permet de\ncontinuer \u00e0 exploiter la vuln\u00e9rabilit\u00e9 CVE-2023-23397 avec un lien *UNC*\nsp\u00e9cialement construit par l'attaquant \\[3\\] si le correctif de s\u00e9curit\u00e9\nde mars 2023 pour les serveurs Microsoft Exchange n'a pas \u00e9t\u00e9 appliqu\u00e9\n(cf. la mise \u00e0 jour de l'alerte du 20 avril).\n\nAfin de respecter le principe de d\u00e9fense en profondeur, le CERT-FR\nrecommande d'appliquer la mise \u00e0 jour de mai 2023 (correction de la\nvuln\u00e9rabilit\u00e9 CVE-2023-29324).\n\n<span style=\"color: #ff0000;\">\u00a0</span>\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Outlook","vendor_advisories":[{"published_at":null,"title":"[1] Guide d'investigation Microsoft du 24 mars 2023","url":"https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft du 14 mars 2023","url":null},{"published_at":null,"title":"Billet de blogue Microsoft du 14 mars 2023","url":"https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/"}]}