Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft 365 Apps
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office LTSC 2021
La vulnérabilité affecte en particulier Microsoft Outlook qui est inclus dans la suite Microsoft Office. L'interface OWA (Outlook Web Application), version web de la messagerie Outlook, n’est pas affectée par cette vulnérabilité selon l’éditeur.
Résumé
[Mise à jour du 15 mars 2024] Ajout de précision concernant les défi-réponses NTLM
[Mise à jour du 22 février 2024] Ajout de recommandations et de précisions sur le fonctionnement de la vulnérabilité.
La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les mesures de sécurité de la suite Office, dont la solution de messagerie Outlook. Plus précisément, son exploitation permet de contourner certaines mesures de sécurité de la suite Office qui empêchent l'accès à une ressource externe sans validation de l'utilisateur.
Ainsi, en utilisant un lien malveillant dans un courriel, un attaquant est en mesure :
- d'obtenir la réponse à un défi-réponse lié à l'authentification de l'utilisateur, par exemple via le protocole SMB. Ce défi-réponse dépend de la configuration système et est communément au format NTLMv2. Ce comportement combiné à une attaque de type "relais NTLM" permettrait à un attaque de réaliser une coercition d'authentification.
- si la cible du lien est un document Office, de provoquer l'ouverture du document sans que le mode protégé de Microsoft Office ne soit activé, permettant in fine une exécution de code arbitraire à distance.
[Publication initiale]
Le 13 février 2024, Microsoft a publié un correctif pour la
vulnérabilité CVE-2024-21413 affectant le
produit Outlook pour Windows.
Elle permet à un attaquant non authentifié de divulguer le condensat
NTLM (new technology LAN manager) local et potentiellement
une exécution de code arbitraire à distance.
Son exploitation nécessite une intervention de l'utilisateur.
Une preuve de concept partielle ainsi qu'un descriptif de la vulnérabilité ont été publiés par le chercheur auteur de sa découverte.
Le CERT-FR n'a pas connaissance d'exploitation pour le moment. En fonction de l'évolution de la situation, cette alerte est susceptible d'être mise à jour.
Solution
[Mise à jour du 15 mars 2024] Ajout de précision concernant les défi-réponses NTLM
[Mise à jour du 22 février 2024] Ajout de recommandations.
Afin de prévenir l'exploitation à distance de cette vulnérabilité, le CERT-FR recommande:
- D’appliquer la mise à jour fournie par Microsoft dans les meilleurs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
- De limiter l'utilisation de NTLMv2 et d'activer les mesures de protection contre les attaques relais préconisées par l'éditeur [2] ainsi que les recommandations (R71 à R77) relatives à l'administration sécurisée des systèmes d'information reposant sur microsoft active directory [3]
- D'interdire les flux SMB en sortie du système d'information (TCP/445). Cette règle s'impose également aux postes nomades, dont les flux doivent être sécurisés.
- De détecter des liens malveillants dans les courriels reçus, par exemple en utilisant une expression régulière (voir la règle Yara [1]). Le CERT-FR n'est pas en mesure de garantir les résultats obtenus par cette règle de détection, qui devront donc être qualifiés.
[Publication initiale]
Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par Microsoft. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft du 13 février 2024 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
- [1] Règle Yara de détection de la vulnérabilité CVE-2024-21413 proposée par X__Junior et Florian Roth https://github.com/Neo23x0/signature-base/blob/master/yara/expl_outlook_cve_2024_21413.yar
- [2] Base de connaissance Microsoft https://support.microsoft.com/fr-fr/topic/kb5005413-att%C3%A9nuation-des-attaques-de-relais-ntlm-sur-les-services-de-certificats-active-directory-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
- [3] Recommandations relatives à l'administration sécurisée des systèmes d'information reposant sur microsoft active directory. Document ANSSI-PA-099 version 1.0 du 02 octobre 2023 https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad
- Avis CERTFR-2024-AVI-0127 du 14 février 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0127/
- Référence CVE CVE-2024-21413 https://www.cve.org/CVERecord?id=CVE-2024-21413