Au sein de son Patch Tuesday de Mars 2023, Microsoft a mis en évidence une faille de sécurité zero-day qui affecte le client de messagerie Outlook : CVE-2023-23397. Il est urgent de mettre à jour votre Outlook, voici pourquoi !
Depuis mi-avril 2022, un groupe de cybercriminels lié au service de renseignement militaire russe (GRU) exploite cette vulnérabilité dans Outlook pour cibler des organisations européennes ! Entre avril 2022 et décembre 2022, ils sont parvenus à infiltrer le réseau d’au moins 15 organisations, notamment dans les domaines de l’énergie, du transport, du militaire ainsi que des organisations gouvernementales.
Il s’agit d’informations officielles partagées par Microsoft au sein d’un rapport sur les menaces disponible pour les utilisateurs avec un abonnement Microsoft 365 Defender, Microsoft Defender for Business, ou Microsoft Defender for Endpoint Plan 2. Un article en parle également à cette adresse.
Microsoft décrit cette faille de sécurité de la manière suivante : « Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait accéder au hachage Net-NTLMv2 d’un utilisateur, qui pourrait être utilisé comme base d’une attaque NTLM Relay contre un autre service pour s’authentifier en tant que l’utilisateur. »
De ce fait, et puisqu’il faut passer par Outlook, les pirates ont envoyés des notes et des tâches malicieuses via Outlook de façon à compromettre la machine des utilisateurs pris pour cible. Cela est particulièrement dangereux car même si l’élément n’est pas ouvert ou prévisualisé, il est préchargé par Outlook !
Grâce à ce mécanisme, les pirates forcent l’utilisateur à s’authentifier sur un partage SMB qu’ils contrôlent, de façon à voler le hash NTLM ! De ce fait, l’attaquant peut utiliser le compte de l’utilisateur, soit pour réaliser des mouvements latéraux sur l’infrastructure, soit pour modifier les permissions de la boite aux lettres de manière à exfiltrer les e-mails. Toutefois, un compte Active Directory membre du groupe Protected Users n’est pas vulnérable à cette attaque.