Alerte aux utilisateurs d’Outlook : la CVE-2023-29324 réactive une faille de sécurité déjà corrigée !
À l'occasion du Patch Tuesday de Mai 2023, Microsoft a corrigé une faille de sécurité dans Windows qui pourrait être utilisée via Outlook pour contourner un correctif déployé en mars 2023. Le problème, c'est que la précédente vulnérabilité était déjà massivement exploitée par les cybercriminels.
Sommaire
Rappel sur la CVE-2023-23397
Souvenez-vous : le Patch Tuesday de Mars 2023 avait permis à Microsoft de déployer un correctif pour la faille de sécurité CVE-2023-23397 qui affecte l'application Outlook. On avait également appris de la part de Microsoft que des cybercriminels liés au service de renseignement militaire russe (GRU) exploitaient cette vulnérabilité dans Outlook pour cibler des organisations européennes !
D'ailleurs, ils en ont profité pendant plusieurs mois et Microsoft avait communiqué quelques chiffres : entre avril 2022 et décembre 2022, ils sont parvenus à infiltrer le réseau d'au moins 15 organisations, notamment dans les domaines de l'énergie, du transport, du militaire ainsi que des organisations gouvernementales.
Nouveau contournement avec la CVE-2023-29324
La faille de sécurité CVE-2023-29324 affecte toutes les versions de Windows et elle a été reportée par le chercheur en sécurité Ben Barnea de chez Akamai. D'ailleurs, il précise : "Toutes les versions de Windows sont concernées par cette vulnérabilité. Par conséquent, toutes les versions du client Outlook sous Windows sont exploitables".
Initialement, pour compromettre des machines, et comme je l'expliquais dans cet article, les cybercriminels envoient des notes et des tâches malicieuses via Outlook pour compromettre la machine des utilisateurs pris pour cible en chargeant des fichiers malveillants. Une méthode d'autant plus dangereuse qu'il n'y a pas besoin d'action de la part de l'utilisateur, car Outlook va précharger l'élément au moment de sa réception.
En corrigeant la faille de sécurité CVE-2023-23397, Microsoft a introduit un appel vers la fonction de contrôle MapUrlToZone pour empêcher l'utilisation de chemins UNC qui pointent vers des partages SMB situés sur internet et contrôlés par les attaquants. Car, effectivement, c'est ce que cherchaient à faire les attaquants en exploitant massivement la faille de sécurité CVE-2023-23397.
Le problème, d'après Ben Barnea, c'est que l'URL dans les messages de rappel peut être modifiée pour tromper les contrôles MapUrlToZone ! De ce fait, il devient possible d'utiliser des chemins d'accès locaux ou d'accès distants. Grâce à ce contournement, il (re)devient possible d'utiliser cette méthode pour compromettre une machine.
Comment se protéger ?
La bonne nouvelle, c'est que cette vulnérabilité a été corrigée par le Patch Tuesday de Mai 2023 mis en ligne il y a quelques jours. Sur le site de Microsoft, cette vulnérabilité est associée à MSHTLM qui est un composant utilisé par IE et Edge legacy. De ce fait, il y a un correctif additionnel à installer en fonction de la version du système cible.
En résumé, pour être totalement protégé, vous devez installer les correctifs pour les deux failles de sécurité : CVE-2023-23397 et CVE-2023-29324. Pour cela, vous pouvez installer la mise à jour mensuelle cumulative.
Toutefois, si vous avez pour habitude d'installer uniquement les correctifs de sécurité, vous devez aussi installer la mise à jour cumulative pour IE, comme l'indique Microsoft : "Pour une protection complète, nous recommandons aux clients qui installent les mises à jour Security Only d'installer les mises à jour IE Cumulative pour cette vulnérabilité." - Tous les liens sont sur cette page.
De son côté, le CERT-FR avait mis en ligne un bulletin d'alerte à ce sujet et il a été mis à jour ces dernières 24 heures pour ajouter qu'il y avait un contournement possible avec la CVE-2023-29324.
