Cybersécurité / Entreprise
Mettez à jour Outlook !

Microsoft patche une faille exploitée par des hackers

Microsoft corrige la vulnérabilité zero-day d’Outlook exploitée par des hackers russes depuis avril 2022. Une faille de sécurité dans Outlook (CVE-2023-23397) a été corrigée par Microsoft. Un groupe de hackers lié au service de renseignement militaire GRU de la Russie a exploité cette vulnérabilité pour cibler des organisations européennes.

La vulnérabilité a été utilisée dans des attaques visant à pirater les réseaux d’un nombre limité d’organisations gouvernementales, militaires, énergétiques et de transport, entre mi-avril et décembre 2022. Le groupe de hackers (connu sous les noms APT28, STRONTIUM, Sednit, Sofacy et Fancy Bear) a envoyé des notes et des tâches malveillantes à Outlook pour voler les hachages NTLM via des demandes de négociation NTLM, forçant les appareils ciblés à s’authentifier auprès de partages SMB contrôlés par les attaquants. Les identifiants volés ont été utilisés pour des déplacements latéraux dans les réseaux des victimes et pour modifier les autorisations de dossiers de boîte de réception Outlook, permettant l’exfiltration de courriels pour des comptes spécifiques.

LES DIFFÉRENTS TYPES D’ATTAQUES INFORMATIQUES EN ENTREPRISE

Microsoft a partagé cette information dans un rapport privé d’analyse de menaces, consultable par les clients disposant d’abonnements à Microsoft 365 Defender, Microsoft Defender for Business ou Microsoft Defender for Endpoint Plan 2.

La vulnérabilité (CVE-2023-23397) a été signalée par CERT-UA (l’équipe de réponse aux incidents informatiques pour l’Ukraine) et il s’agit d’une faille de sécurité critique d’élévation de privilèges d’Outlook exploitable sans interaction de l’utilisateur lors d’attaques à faible complexité.

Réunion du GIEC

« Un attaquant pourrait exploiter cette vulnérabilité en envoyant un courrier électronique spécialement conçu qui se déclenche automatiquement lorsqu’il est récupéré et traité par le client Outlook. Cela pourrait mener à une exploitation AVANT que le courrier électronique ne soit visualisé dans le volet de visualisation », explique Microsoft dans un avis de sécurité publié aujourd’hui.

« La connexion au serveur SMB distant envoie le message de négociation NTLM de l’utilisateur, que l’attaquant peut ensuite relayer pour l’authentification contre d’autres systèmes prenant en charge l’authentification NTLM », ajoute Redmond dans un billet de blog séparé.

CVE-2023-23397 affecte toutes les versions prises en charge d’Outlook pour Windows, mais n’affecte pas les versions d’Outlook pour Android, iOS ou macOS.

De plus, étant donné que les services en ligne tels que Outlook sur le web et Microsoft 365 ne prennent pas en charge l’authentification NTLM, ils ne sont pas vulnérables aux attaques exploitant cette vulnérabilité de relais NTLM. Microsoft recommande de patch

Sauvegarde des données des entreprises

Nous contacter

Pour les entreprises PME / TPE et les grands groupes, notre équipe a une solution pour vos soucis de câblage informatique.

Demande de devis