CERTFR-2023-ALE-002
Vulnerability from certfr_alerte

[mise à jour du 11 mai 2023] Possibilité de contournement du correctif proposé par l'éditeur par le biais de la CVE-2023-29324

[mise à jour du 20 avril 2023] clarification de la recommandation pour le filtrage du flux SMB

[mise à jour du 29 mars 2023] complément d'information et recommandation

En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l'existence d'une vulnérabilité CVE-2023-23397 affectant diverses versions du produit Outlook pour Windows qui permet à un attaquant de récupérer le condensat Net-NTLMv2 (new technology LAN manager).

Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance d'une première preuve de concept publique (non encore qualifiée).

La vulnérabilité ne requiert pas d'intervention de l'utilisateur. Elle est déclenchée lorsqu'un attaquant envoie un message contenant un lien UNC (Universal Naming Convention) vers une ressource partagée en SMB hébergée sur un serveur qui serait sous contrôle de l'attaquant. Durant la connexion SMB au serveur malveillant, le message d’authentification NTLM pour la négociation de l'authentification est envoyé, l'attaquant peut ainsi le relayer auprès d'autres services supportant ce type d'authentification pour obtenir un accès valide.

L'éditeur indique que les version d'Outlook pour Android, iOS, Mac, mais aussi la version web et les services M365 ne sont pas vulnérables.

Microsoft a publié un code Powershell et une documentation permettant de vérifier si un système a été la cible d'une attaque. Le script remonte les courriels, tâches et invitations de calendrier pointant vers un partage potentiellement non-maîtrisé. Ces éléments doivent être passés en revue afin de déterminer leur légitimité et, dans le cas contraire, ils doivent faire l'objet d'une investigation (contrôler l'existence de connexions sortantes associées, lister les connexions réalisées à l'aide du compte utilisateur, etc.) pour prendre les mesures de remédiation appropriées.

[mise à jour du 20 avril 2023] Le 24 mars 2023, Microsoft a publié un guide d'investigation documentant les différents contrôles à mener et les indicateurs de compromission à chercher. Il convient de noter que ce guide apporte plusieurs éléments techniques qui sont également à prendre en compte :

  • Pour prévenir une exploitation menée par un attaquant utilisant une machine distante pour collecter les condensats Net-NTLMv2, il convient d'interdire les flux SMB en sortie du système d'information (TCP/445). Cette règle s'impose également aux postes nomades, dont les flux doivent être sécurisés (cf. les règles R16 à R18 du guide ANSSI pour le nomadisme numérique [2]).
  • La mise à jour de sécurité de Microsoft Exchange Server du mois de mars 2023 permet de prévenir l'exploitation de la vulnérabilité en supprimant automatiquement les courriels dont la propriété PidLidReminderFileParameter est définie. Ce correctif ne corrige pas la vulnérabilité intrinsèque au client Outlook mais empêche son exploitation.

[mise à jour du 11 mai 2023] Le 9 mai, Microsoft a publié un correctif pour une vulnérabilité dont l'identifiant est CVE-2023-29324. Cette vulnérabilité permet de continuer à exploiter la vulnérabilité CVE-2023-23397 avec un lien UNC spécialement construit par l'attaquant [3] si le correctif de sécurité de mars 2023 pour les serveurs Microsoft Exchange n'a pas été appliqué (cf. la mise à jour de l'alerte du 20 avril).

Afin de respecter le principe de défense en profondeur, le CERT-FR recommande d'appliquer la mise à jour de mai 2023 (correction de la vulnérabilité CVE-2023-29324).

 

Solution

Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par Microsoft, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

[mise à jour du 29 mars 2023] Le CERT-FR recommande fortement d'appliquer la mise à jour de sécurité de mars 2023 pour Microsoft Exchange Server.

[mise à jour du 29 mars 2023] Le CERT-FR recommande fortement d'appliquer les mises à jour de sécurité de mars et de mai 2023 pour Microsoft Exchange Server.

None
Impacted products
Vendor Product Description
Microsoft Office Microsoft Office LTSC 2021 pour éditions 64 bits
Microsoft Office Microsoft Office LTSC 2021 pour éditions 32 bits
Microsoft Office Microsoft Office 2019 pour éditions 32 bits
Microsoft N/A Microsoft 365 Apps pour Entreprise pour systèmes 32 bits
Microsoft N/A Microsoft 365 Apps pour Entreprise pour systèmes 64 bits
Microsoft N/A Microsoft Outlook 2013 RT Service Pack 1
Microsoft Office Microsoft Office 2019 pour éditions 64 bits
Microsoft N/A Microsoft Outlook 2013 Service Pack 1 (éditions 64 bits)
Microsoft N/A Microsoft Outlook 2013 Service Pack 1 (éditions 32 bits)
Microsoft N/A Microsoft Outlook 2016 (édition 64 bits)
Microsoft N/A Microsoft Outlook 2016 (édition 32 bits)
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Office LTSC 2021 pour \u00e9ditions 64 bits",
      "product": {
        "name": "Office",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Office LTSC 2021 pour \u00e9ditions 32 bits",
      "product": {
        "name": "Office",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Office 2019 pour \u00e9ditions 32 bits",
      "product": {
        "name": "Office",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft 365 Apps pour Entreprise pour syst\u00e8mes 32 bits",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft 365 Apps pour Entreprise pour syst\u00e8mes 64 bits",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Outlook 2013 RT Service Pack 1",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Office 2019 pour \u00e9ditions 64 bits",
      "product": {
        "name": "Office",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Outlook 2013 Service Pack 1 (\u00e9ditions 64 bits)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Outlook 2013 Service Pack 1 (\u00e9ditions 32 bits)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Outlook 2016 (\u00e9dition 64 bits)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Outlook 2016 (\u00e9dition 32 bits)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2023-07-26",
  "content": "## Solution\n\nLe CERT-FR recommande fortement d\u2019appliquer la mise \u00e0 jour fournie par\nMicrosoft, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. section Documentation).\n\n**\\[mise \u00e0 jour du 29 mars 2023\\]** Le CERT-FR recommande fortement\nd\u0027appliquer la mise \u00e0 jour de s\u00e9curit\u00e9 de mars 2023 pour Microsoft\nExchange Server.\n\n\u003cspan style=\"color: #ff0000;\"\u003e**\\[mise \u00e0 jour du 29 mars 2023\\]**\u003c/span\u003e\nLe CERT-FR recommande fortement d\u0027appliquer les mises \u00e0 jour de s\u00e9curit\u00e9\nde mars \u003cu\u003eet\u003c/u\u003e de mai 2023 pour Microsoft Exchange Server.\n",
  "cves": [
    {
      "name": "CVE-2023-23397",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-23397"
    },
    {
      "name": "CVE-2023-29324",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-29324"
    }
  ],
  "initial_release_date": "2023-03-15T00:00:00",
  "last_revision_date": "2023-05-11T00:00:00",
  "links": [
    {
      "title": "[3] Billet de blog du d\u00e9couvreur de la CVE-2023-29324",
      "url": "https://www.akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2023-23397 du 14 mars 2023",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397"
    },
    {
      "title": "Documentation et code Powershell fournis par Microsoft pour l\u0027identification de compromission",
      "url": "https://aka.ms/CVE-2023-23397ScriptDoc"
    },
    {
      "title": "[2] Guide ANSSI pour le nomadisme num\u00e9rique",
      "url": "https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"
    },
    {
      "title": "Avis CERTFR-2023-AVI-0231 du 15 mars 2023",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0231/"
    },
    {
      "title": "Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "Avis CERTFR-2023-AVI-0234 du 15 mars 2023",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0234/"
    }
  ],
  "reference": "CERTFR-2023-ALE-002",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-03-15T00:00:00.000000"
    },
    {
      "description": "Clarifications mineures",
      "revision_date": "2023-03-16T00:00:00.000000"
    },
    {
      "description": "clarification de la recommadation pour le filtrage du flux SMB",
      "revision_date": "2023-04-20T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027informations concernant la vuln\u00e9rabilit\u00e9 CVE-2023-29324",
      "revision_date": "2023-05-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[mise \u00e0 jour du 11 mai 2023\\]\nPossibilit\u00e9 de contournement du correctif propos\u00e9 par l\u0027\u00e9diteur par le\nbiais de la CVE-2023-29324\u003c/strong\u003e\u003c/span\u003e\n\n\u003cstrong\u003e\\[mise \u00e0 jour du 20 avril 2023\\] clarification de la recommandation\npour le filtrage du flux SMB\u003c/strong\u003e\n\n\u003cstrong\u003e\\[mise \u00e0 jour du 29 mars 2023\\] compl\u00e9ment d\u0027information et\nrecommandation  \n\u003c/strong\u003e\n\nEn date du 14 mars 2023, \u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003elors\nde sa mise \u00e0 jour mensuelle\u003c/span\u003e, Microsoft a indiqu\u00e9 l\u0027existence\nd\u0027une vuln\u00e9rabilit\u00e9 CVE-2023-23397 affectant diverses versions du\nproduit Outlook pour Windows qui permet \u00e0 un attaquant \u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003ede r\u00e9cup\u00e9rer le condensat\n\u003c/span\u003e*Net-NTLMv2* (*new technology LAN manager*).\n\nMicrosoft indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e dans\nle cadre d\u0027attaques cibl\u00e9es. Par ailleurs, le CERT-FR a connaissance\nd\u0027une premi\u00e8re preuve de concept publique (non encore qualifi\u00e9e).\n\nLa vuln\u00e9rabilit\u00e9 ne requiert pas d\u0027intervention de l\u0027utilisateur. Elle\nest d\u00e9clench\u00e9e lorsqu\u0027un attaquant envoie un message contenant un\nlien\u00a0*UNC* (*Universal Naming Convention*) vers une ressource partag\u00e9e\nen *SMB* h\u00e9berg\u00e9e sur un serveur qui serait sous contr\u00f4le de\nl\u0027attaquant. Durant la connexion *SMB* au serveur malveillant, le \u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003emessage d\u2019authentification\u003c/span\u003e\n*NTLM* pour la n\u00e9gociation de l\u0027authentification est envoy\u00e9, l\u0027attaquant\npeut ainsi le relayer aupr\u00e8s d\u0027autres services supportant ce type\nd\u0027authentification pour obtenir un acc\u00e8s valide.\n\nL\u0027\u00e9diteur indique que les version d\u0027Outlook pour Android, iOS, Mac, mais\naussi la version web et les services M365 ne sont pas vuln\u00e9rables.\n\nMicrosoft a publi\u00e9 un code Powershell et une documentation permettant de\nv\u00e9rifier si un syst\u00e8me a \u00e9t\u00e9 la cible d\u0027une attaque. Le script remonte\nles courriels, t\u00e2ches et invitations de calendrier pointant vers un\npartage potentiellement non-ma\u00eetris\u00e9. Ces \u00e9l\u00e9ments doivent \u00eatre pass\u00e9s\nen revue afin de d\u00e9terminer leur l\u00e9gitimit\u00e9 et, dans le cas contraire,\nils doivent faire l\u0027objet d\u0027une investigation (contr\u00f4ler l\u0027existence de\nconnexions sortantes associ\u00e9es, lister les connexions r\u00e9alis\u00e9es \u00e0 l\u0027aide\ndu compte utilisateur, etc.) pour prendre les mesures de rem\u00e9diation\nappropri\u00e9es.\n\n\u003cstrong\u003e\\[mise \u00e0 jour du 20 avril 2023\\]\u003c/strong\u003e Le 24 mars 2023, Microsoft a publi\u00e9\nun guide d\u0027investigation documentant les diff\u00e9rents contr\u00f4les \u00e0 mener et\nles indicateurs de compromission \u00e0 chercher. Il convient de noter que ce\nguide apporte plusieurs \u00e9l\u00e9ments techniques qui sont \u00e9galement \u00e0 prendre\nen compte :\n\n-   Pour pr\u00e9venir une exploitation men\u00e9e par un attaquant utilisant une\n    machine distante pour collecter les condensats *Net-NTLMv2*, il\n    convient d\u0027interdire les flux *SMB* \u003cu\u003een sortie du syst\u00e8me\n    d\u0027information\u003c/u\u003e (TCP/445). Cette r\u00e8gle s\u0027impose \u00e9galement aux\n    postes nomades, dont les flux doivent \u00eatre s\u00e9curis\u00e9s (cf. les r\u00e8gles\n    R16 \u00e0 R18 du guide ANSSI pour le nomadisme num\u00e9rique \\[2\\]).\n-   \u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eLa mise \u00e0\n    jour de s\u00e9curit\u00e9 de Microsoft Exchange Server du mois de mars 2023\n    permet de pr\u00e9venir l\u0027exploitation de la vuln\u00e9rabilit\u00e9 en supprimant\n    automatiquement les courriels dont la propri\u00e9t\u00e9\n    *PidLidReminderFileParameter* est d\u00e9finie. Ce correctif ne corrige\n    pas la vuln\u00e9rabilit\u00e9 intrins\u00e8que au client Outlook mais emp\u00eache son\n    exploitation.\u003c/span\u003e\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[mise \u00e0 jour du 11 mai 2023\\]\u003c/strong\u003e\n\u003c/span\u003eLe 9 mai, Microsoft a publi\u00e9 un correctif pour une vuln\u00e9rabilit\u00e9\ndont l\u0027identifiant est CVE-2023-29324. Cette vuln\u00e9rabilit\u00e9 permet de\ncontinuer \u00e0 exploiter la vuln\u00e9rabilit\u00e9 CVE-2023-23397 avec un lien *UNC*\nsp\u00e9cialement construit par l\u0027attaquant \\[3\\] si le correctif de s\u00e9curit\u00e9\nde mars 2023 pour les serveurs Microsoft Exchange n\u0027a pas \u00e9t\u00e9 appliqu\u00e9\n(cf. la mise \u00e0 jour de l\u0027alerte du 20 avril).\n\nAfin de respecter le principe de d\u00e9fense en profondeur, le CERT-FR\nrecommande d\u0027appliquer la mise \u00e0 jour de mai 2023 (correction de la\nvuln\u00e9rabilit\u00e9 CVE-2023-29324).\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u00a0\u003c/span\u003e\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Outlook",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "[1] Guide d\u0027investigation Microsoft du 24 mars 2023",
      "url": "https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft du 14 mars 2023",
      "url": null
    },
    {
      "published_at": null,
      "title": "Billet de blogue Microsoft du 14 mars 2023",
      "url": "https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.