Résumé

[mise à jour du 11 mai 2023]Possibilité de contournement du correctif proposé par l'éditeur par lebiais de la CVE-2023-29324

[mise à jour du 20 avril 2023] clarification de la recommandationpour le filtrage du flux SMB

[mise à jour du 29 mars 2023] complément d'information etrecommandation

En date du 14 mars 2023, lorsde sa mise à jour mensuelle, Microsoft a indiqué l'existenced'une vulnérabilité CVE-2023-23397 affectant diverses versions duproduit Outlook pour Windows qui permet à un attaquant de récupérer le condensatNet-NTLMv2 (new technology LAN manager).

Microsoft indique que cette vulnérabilité est activement exploitée dansle cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissanced'une première preuve de concept publique (non encore qualifiée).

La vulnérabilité ne requiert pas d'intervention de l'utilisateur. Elleest déclenchée lorsqu'un attaquant envoie un message contenant unlien UNC (Universal Naming Convention) vers une ressource partagéeen SMB hébergée sur un serveur qui serait sous contrôle del'attaquant. Durant la connexion SMB au serveur malveillant, le message d’authentificationNTLM pour la négociation de l'authentification est envoyé, l'attaquantpeut ainsi le relayer auprès d'autres services supportant ce typed'authentification pour obtenir un accès valide.

L'éditeur indique que les version d'Outlook pour Android, iOS, Mac, maisaussi la version web et les services M365 ne sont pas vulnérables.

Microsoft a publié un code Powershell et une documentation permettant devérifier si un système a été la cible d'une attaque. Le script remonteles courriels, tâches et invitations de calendrier pointant vers unpartage potentiellement non-maîtrisé. Ces éléments doivent être passésen revue afin de déterminer leur légitimité et, dans le cas contraire,ils doivent faire l'objet d'une investigation (contrôler l'existence deconnexions sortantes associées, lister les connexions réalisées à l'aidedu compte utilisateur, etc.) pour prendre les mesures de remédiationappropriées.

[mise à jour du 20 avril 2023] Le 24 mars 2023, Microsoft a publiéun guide d'investigation documentant les différents contrôles à mener etles indicateurs de compromission à chercher. Il convient de noter que ceguide apporte plusieurs éléments techniques qui sont également à prendreen compte :

• Pour prévenir une exploitation menée par un attaquant utilisant unemachine distante pour collecter les condensats Net-NTLMv2, ilconvient d'interdire les flux SMBen sortie du systèmed'information (TCP/445). Cette règle s'impose également auxpostes nomades, dont les flux doivent être sécurisés (cf. les règlesR16 à R18 du guide ANSSI pour le nomadisme numérique [2]).
• La mise àjour de sécurité de Microsoft Exchange Server du mois de mars 2023permet de prévenir l'exploitation de la vulnérabilité en supprimantautomatiquement les courriels dont la propriétéPidLidReminderFileParameter est définie. Ce correctif ne corrigepas la vulnérabilité intrinsèque au client Outlook mais empêche sonexploitation.

[mise à jour du 11 mai 2023]Le 9 mai, Microsoft a publié un correctif pour une vulnérabilitédont l'identifiant est CVE-2023-29324. Cette vulnérabilité permet decontinuer à exploiter la vulnérabilité CVE-2023-23397 avec un lien UNCspécialement construit par l'attaquant [3] si le correctif de sécuritéde mars 2023 pour les serveurs Microsoft Exchange n'a pas été appliqué(cf. la mise à jour de l'alerte du 20 avril).

Afin de respecter le principe de défense en profondeur, le CERT-FRrecommande d'appliquer la mise à jour de mai 2023 (correction de lavulnérabilité CVE-2023-29324).