Résumé

[Mise à jour du 15 mars 2024] Ajout deprécision concernant les défi-réponses NTLM

[Mise à jour du 22 février 2024] Ajout derecommandations et de précisions sur le fonctionnement de lavulnérabilité.

La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner lesmesures de sécurité de la suite Office, dont la solution de messagerieOutlook. Plus précisément, son exploitation permet de contournercertaines mesures de sécurité de la suite Office qui empêchent l'accès àune ressource externe sans validation de l'utilisateur.

Ainsi, en utilisant un lien malveillant dans un courriel, un attaquantest en mesure :

• d'obtenir la réponse à un défi-réponse lié à l'authentification del'utilisateur, par exemple via le protocole SMB. Ce défi-réponsedépend de la configuration système et est communément au formatNTLMv2. Ce comportement combiné à une attaque de type "relais NTLM"permettrait à un attaque de réaliser une coercitiond'authentification.
• si la cible du lien est un document Office, de provoquer l'ouverturedu document sans que le mode protégé de Microsoft Office ne soitactivé, permettant in fine une exécution de code arbitraire àdistance.

[Publication initiale]

Le 13 février 2024, Microsoft a publié un correctif pour lavulnérabilité CVE-2024-21413 affectant leproduit Outlook pour Windows.
Elle permet à un attaquant non authentifié de divulguer le condensatNTLM (new technology LAN manager) local et potentiellementune exécution de code arbitraire à distance.
Son exploitation nécessite une intervention de l'utilisateur.

Une preuve de concept partielle ainsi qu'un descriptif de lavulnérabilité ont été publiés par le chercheur auteur de sa découverte.

Le CERT-FR n'a pas connaissance d'exploitation pour le moment. Enfonction de l'évolution de la situation, cette alerte est susceptibled'être mise à jour.