Risque(s)
- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données
Systèmes affectés
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office LTSC 2021
- Microsoft 365 Apps
La vulnérabilité affecte en particulier Microsoft Outlook qui est inclus dans la suite Microsoft Office. L’interface OWA (Outlook Web Application), version web de la messagerie Outlook, n’est pas affectée par cette vulnérabilité selon l’éditeur.
Résumé
[Mise à jour du 22 février 2024] Ajout de recommandations et de précisions sur le fonctionnement de la vulnérabilité.
La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les mesures de sécurité de la suite Office, dont la solution de messagerie Outlook. Plus précisément, son exploitation permet de contourner certaines mesures de sécurité de la suite Office qui empêchent l’accès à une ressource externe sans validation de l’utilisateur.
Ainsi, en utilisant un lien malveillant dans un courriel, un attaquant est en mesure :
- d’obtenir le condensat NTLM de l’utilisateur, par exemple via le protocole SMB ;
- si la cible du lien est un document Office, de provoquer l’ouverture du document sans que le mode protégé de Microsoft Office ne soit activé, permettant in fine une exécution de code arbitraire à distance.
[Publication initiale]
Le 13 février 2024, Microsoft a publié un correctif pour la vulnérabilité CVE-2024-21413 affectant le produit Outlook pour Windows.
Elle permet à un attaquant non authentifié de divulguer le condensat NTLM (new technology LAN manager) local et potentiellement une exécution de code arbitraire à distance.
Son exploitation nécessite une intervention de l’utilisateur.
Une preuve de concept partielle ainsi qu’un descriptif de la vulnérabilité ont été publiés par le chercheur auteur de sa découverte.
Le CERT-FR n’a pas connaissance d’exploitation pour le moment. En fonction de l’évolution de la situation, cette alerte est susceptible d’être mise à jour.
Solution
[Mise à jour du 22 février 2024] Ajout de recommandations.
Afin de prévenir l’exploitation à distance de cette vulnérabilité, le CERT-FR recommande:
- D’appliquer la mise à jour fournie par Microsoft dans les meilleurs délais. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
- D’interdire les flux SMB en sortie du système d’information (TCP/445). Cette règle s’impose également aux postes nomades, dont les flux doivent être sécurisés.
- De détecter des liens malveillants dans les courriels reçus, par exemple en utilisant une expression régulière (voir la règle Yara [1]). Le CERT-FR n’est pas en mesure de garantir les résultats obtenus par cette règle de détection, qui devront donc être qualifiés.
[Publication initiale]
Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par Microsoft. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft du 13 février 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413 - [1] Règle Yara de détection de la vulnérabilité CVE-2024-21413 proposée par X__Junior et Florian Roth
https://github.com/Neo23x0/signature-base/blob/master/yara/expl_outlook_cve_2024_21413.yar - Avis CERTFR-2024-AVI-0127 du 14 février 2024
https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0127/ - Référence CVE CVE-2024-21413
https://www.cve.org/CVERecord?id=CVE-2024-21413
Source : Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d’information