Le 14 mars 2023, Microsoft a publié un guide de mise à jour de sécurité pour une vulnérabilité critique CVE-2023-23397. Cette vulnérabilité cible Microsoft Outlook et permet le vol d’informations d’identification NTLM qui pourraient être utilisées pour des attaques d’élévation de privilèges.

Quel est le problème ?

Un hacker peut envoyer à la victime un e-mail contenant une propriété MAPI (Microsoft Outlook Messaging API) étendue avec un chemin UNC (Universal Naming Convention, format de chaîne spécifiant l’emplacement d’une ressource) vers un partage SMB contrôlé par l’attaquant (TCP 445). Une fois qu’Outlook reçoit ce message, il lance une authentification NTLM avec ce serveur de partage SMB. Aucune interaction de l’utilisateur n’est requise pour déclencher cette vulnérabilité. Le hacker peut alors utiliser le message de négociation NTLM de cette connexion et relayer cette authentification avec d’autres systèmes prenant en charge l’authentification NTLM.

Selon Microsoft, « un hacker qui réussit à exploiter cette vulnérabilité pourrait accéder au hachage Net-NTLMv2 d’un utilisateur qui pourrait être utilisé comme base d’une attaque NTLM Relay contre un autre service pour s’authentifier en tant qu’utilisateur ».

Quels sont les systèmes affectés ?

Cela affecte toutes les versions de Microsoft Outlook pour Windows. Selon le blog de Microsoft, les autres versions de Microsoft Outlook telles qu’Android, iOS, Mac, ainsi qu’Outlook sur le Web et d’autres services M365 ne sont pas affectées.

Microsoft Outlook 2016 (édition 64 bits)
Microsoft Outlook 2013 Service Pack 1 (éditions 32 bits)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (éditions 64 bits)
Microsoft Office 2019 pour les éditions 32 bits
Applications Microsoft 365 pour Entreprise pour les systèmes 32 bits
Microsoft Office 2019 pour les éditions 64 bits
Applications Microsoft 365 pour Entreprise pour les systèmes 64 bits
Microsoft Office LTSC 2021 pour les éditions 64 bits
Microsoft Outlook 2016 (édition 32 bits)
Microsoft Office LTSC 2021 pour les éditions 32 bits

Microsoft a également fourni des scripts d’évaluation d’impact à l’adresse https://aka.ms/CVE-2023-23397ScriptDoc et a détaillé les étapes pour exécuter le script afin d’évaluer l’impact.

Que faire pour vous protéger ?

Installez la mise à jour de sécurité de Microsoft Outlook pour atténuer le problème.
Bloquez toutes les connexions sortantes TCP445/SMB de votre réseau.
Le guide de sécurité de Microsoft pour ce CVE suggère également d’ajouter les utilisateurs au groupe de sécurité Utilisateurs protégés, ce qui empêche l’utilisation du mécanisme d’authentification NTLM. Cette solution d’atténuation pourrait être appliquée jusqu’à ce que les mises à jour de sécurité soient appliquées, car cela peut avoir un impact sur les applications qui utilisent l’authentification NTLM dans le cadre de leur fonctionnement régulier. Cette solution peut être utilisée pour protéger les comptes d’administrateur de domaine à forte valeur. Une fois les mises à jour de sécurité appliquées, les utilisateurs peuvent être retirés du groupe de sécurité Utilisateurs protégés, leur permettant ainsi d’utiliser à nouveau l’authentification NTLM.

Couverture de Zscaler

Protection contre les menaces avancées

HTML.Exploit.CVE-2023-23397

Nous avons ajouté une couverture pour les tentatives d’exploitation connues et nous sommes en train d’ajouter une détection plus générique pour cette vulnérabilité.

Les détails relatifs aux signatures de menaces publiées par Zscaler sont disponibles dans la bibliothèque de menaces de Zscaler.