CVE-2023-23397: Un email peut voler vos identifiants Windows
CVE-2023-23397 est une vulnérabilité d’élévation de privilèges critique dans Microsoft Outlook qui permet l’exfiltration de hachages d’authentification NTLM via un email spécialement conçu. Cette faille est exploitée sans interaction de l’utilisateur et soulève des préoccupations significatives en matière de sécurité pour toutes les versions de Outlook pour Windows.
Détails Techniques
La vulnérabilité exploite la propriété PidLidReminderFileParameter dans Outlook, permettant à l’attaquant d’insérer un chemin UNC vers un partage SMB qu’il contrôle. Lorsque Outlook traite le message contenant ce chemin, il tente de se connecter au partage SMB, entraînant la fuite des hachages Net-NTLMv2 de l’utilisateur.
Ces hachages peuvent ensuite être utilisés pour des attaques de relais NTLM ou des tentatives de déchiffrement afin d’obtenir les identifiants en clair.
Méthode d’Attaque
L’attaque est réalisée en envoyant un email contenant une invitation ou une tâche avec la propriété PidLidReminderFileParameter modifiée pour inclure un chemin UNC vers un serveur SMB contrôlé par l’attaquant.
Lorsque le client Outlook traite cet email, il initie une connexion au partage SMB, divulguant les hachages d’authentification de l’utilisateur sans nécessiter d’interaction de la part de celui-ci.
Impact et Mitigation
L’impact de cette vulnérabilité est considérable, affectant toutes les versions de Microsoft Outlook pour Windows. Elle permet une élévation de privilèges et le vol de credentials sans interaction utilisateur, ce qui en fait une cible privilégiée pour les attaquants. Microsoft a identifié des exploitations ciblées et limitées par des acteurs basés en Russie, notamment contre l’infrastructure ukrainienne.
Pour mitiger cette vulnérabilité, Microsoft recommande l’application immédiate du patch de sécurité publié. En cas d’impossibilité de patcher rapidement, Microsoft suggère l’ajout des comptes à haut privilège au groupe d’utilisateurs protégés et le blocage des connexions SMB sortantes. Des scripts de détection des messages exploitant la vulnérabilité et des connexions SMB sortantes sont également fournis pour aider à l’audit et à la détection des tentatives d’exploitation.
