Mettez à jour Outlook, des pirates russes utilisent cette faille pour cibler l’Europe !
Au sein de son Patch Tuesday de Mars 2023, Microsoft a mis en évidence une faille de sécurité zero-day qui affecte le client de messagerie Outlook : CVE-2023-23397. Il est urgent de mettre à jour votre Outlook, voici pourquoi !
Depuis mi-avril 2022, un groupe de cybercriminels lié au service de renseignement militaire russe (GRU) exploite cette vulnérabilité dans Outlook pour cibler des organisations européennes ! Entre avril 2022 et décembre 2022, ils sont parvenus à infiltrer le réseau d'au moins 15 organisations, notamment dans les domaines de l'énergie, du transport, du militaire ainsi que des organisations gouvernementales.
Il s'agit d'informations officielles partagées par Microsoft au sein d'un rapport sur les menaces disponible pour les utilisateurs avec un abonnement Microsoft 365 Defender, Microsoft Defender for Business, ou Microsoft Defender for Endpoint Plan 2. Un article en parle également à cette adresse.
Microsoft décrit cette faille de sécurité de la manière suivante : "Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait accéder au hachage Net-NTLMv2 d'un utilisateur, qui pourrait être utilisé comme base d'une attaque NTLM Relay contre un autre service pour s'authentifier en tant que l'utilisateur."
De ce fait, et puisqu'il faut passer par Outlook, les pirates ont envoyés des notes et des tâches malicieuses via Outlook de façon à compromettre la machine des utilisateurs pris pour cible. Cela est particulièrement dangereux car même si l'élément n'est pas ouvert ou prévisualisé, il est préchargé par Outlook !
Grâce à ce mécanisme, les pirates forcent l'utilisateur à s'authentifier sur un partage SMB qu'ils contrôlent, de façon à voler le hash NTLM ! De ce fait, l'attaquant peut utiliser le compte de l'utilisateur, soit pour réaliser des mouvements latéraux sur l'infrastructure, soit pour modifier les permissions de la boite aux lettres de manière à exfiltrer les e-mails. Toutefois, un compte Active Directory membre du groupe Protected Users n'est pas vulnérable à cette attaque.
Qui est affecté ? Qui ne l'est pas ?
Microsoft précise que les utilisateurs d'Outlook sur le Web ne sont pas affectés, tout comme les utilisateurs de Microsoft 365, car l'authentification NTLM n'est pas autorisée. De ce fait, la technique du relais NTLM ne peut pas être utilisée.
Par contre, pour d'autres solutions de messagerie, y compris Microsoft Exchange, ce risque est réel. D'ailleurs, Microsoft a mis en ligne une mise à jour de sécurité pour Exchange et dans la note de publication, la firme de Redmond mentionne un script permettant de vérifier s'il y eu une tentative d'exploitation de la CVE-2023-23397.
Cette faille de sécurité impacte toutes les versions de Microsoft Outlook pour Windows ! Les versions pour Android et macOS ne sont pas affectées. Une mise à jour de sécurité est disponible : protégez-vous.