certfr_alerte - certfr-2024-ale-005

CERTFR-2024-ALE-005

Vulnerability from certfr_alerte

[Mise à jour du 15 mars 2024] Ajout de précision concernant les défi-réponses NTLM

[Mise à jour du 22 février 2024] Ajout de recommandations et de précisions sur le fonctionnement de la vulnérabilité.

La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les mesures de sécurité de la suite Office, dont la solution de messagerie Outlook. Plus précisément, son exploitation permet de contourner certaines mesures de sécurité de la suite Office qui empêchent l'accès à une ressource externe sans validation de l'utilisateur.

Ainsi, en utilisant un lien malveillant dans un courriel, un attaquant est en mesure :

d'obtenir la réponse à un défi-réponse lié à l'authentification de l'utilisateur, par exemple via le protocole SMB. Ce défi-réponse dépend de la configuration système et est communément au format NTLMv2. Ce comportement combiné à une attaque de type "relais NTLM" permettrait à un attaque de réaliser une coercition d'authentification.
si la cible du lien est un document Office, de provoquer l'ouverture du document sans que le mode protégé de Microsoft Office ne soit activé, permettant in fine une exécution de code arbitraire à distance.

[Publication initiale]

Le 13 février 2024, Microsoft a publié un correctif pour la vulnérabilité CVE-2024-21413 affectant le produit Outlook pour Windows.
Elle permet à un attaquant non authentifié de divulguer le condensat NTLM (new technology LAN manager) local et potentiellement une exécution de code arbitraire à distance.
Son exploitation nécessite une intervention de l'utilisateur.

Une preuve de concept partielle ainsi qu'un descriptif de la vulnérabilité ont été publiés par le chercheur auteur de sa découverte.

Le CERT-FR n'a pas connaissance d'exploitation pour le moment. En fonction de l'évolution de la situation, cette alerte est susceptible d'être mise à jour.

Solution

[Mise à jour du 15 mars 2024] Ajout de précision concernant les défi-réponses NTLM

[Mise à jour du 22 février 2024] Ajout de recommandations.

Afin de prévenir l'exploitation à distance de cette vulnérabilité, le CERT-FR recommande:

D’appliquer la mise à jour fournie par Microsoft dans les meilleurs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
De limiter l'utilisation de NTLMv2 et d'activer les mesures de protection contre les attaques relais préconisées par l'éditeur [2] ainsi que les recommandations (R71 à R77) relatives à l'administration sécurisée des systèmes d'information reposant sur microsoft active directory [3]
D'interdire les flux SMB en sortie du système d'information (TCP/445). Cette règle s'impose également aux postes nomades, dont les flux doivent être sécurisés.
De détecter des liens malveillants dans les courriels reçus, par exemple en utilisant une expression régulière (voir la règle Yara [1]). Le CERT-FR n'est pas en mesure de garantir les résultats obtenus par cette règle de détection, qui devront donc être qualifiés.

[Publication initiale]

Le CERT-FR recommande fortement d’appliquer la mise à jour fournie par Microsoft. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La vulnérabilité affecte en particulier Microsoft Outlook qui est inclus dans la suite Microsoft Office. L'interface OWA (Outlook Web Application), version web de la messagerie Outlook, n’est pas affectée par cette vulnérabilité selon l’éditeur.

Impacted products

Vendor	Product	Description
Microsoft	Office	Microsoft Office LTSC 2021
Microsoft	Office	Microsoft Office 2019
Microsoft	Office	Microsoft Office 2016
Microsoft	N/A	Microsoft 365 Apps

References

Title

Publication Time

Tags

Bulletin de sécurité Microsoft	2024-02-13	vendor-advisory
[1] Règle Yara de détection de la vulnérabilité CVE-2024-21413 proposée par X__Junior et Florian Roth	-	other
Avis CERTFR-2024-AVI-0127 du 14 février 2024	-	other
[2] Base de connaissance Microsoft	-	other
[3] Recommandations relatives à l'administration sécurisée des systèmes d'information reposant sur microsoft active directory. Document ANSSI-PA-099 version 1.0 du 02 octobre 2023	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Office LTSC 2021",
      "product": {
        "name": "Office",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Office 2019",
      "product": {
        "name": "Office",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Office 2016",
      "product": {
        "name": "Office",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft 365 Apps",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "\u003cp\u003eLa vuln\u00e9rabilit\u00e9 affecte en particulier Microsoft Outlook qui est inclus dans la suite Microsoft Office. L\u0027interface \u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eOWA (Outlook Web Application), version web de la messagerie Outlook, n\u2019est pas affect\u00e9e par cette vuln\u00e9rabilit\u00e9 selon l\u2019\u00e9diteur. \u003c/span\u003e\u003c/p\u003e ",
  "closed_at": "2024-04-15",
  "content": "## Solution\n\n\u003cspan style=\"color: red;\"\u003e**\\[Mise \u00e0 jour du 15 mars 2024\\] Ajout de\npr\u00e9cision concernant les d\u00e9fi-r\u00e9ponses NTLM**\u003c/span\u003e\n\n**\\[Mise \u00e0 jour du 22 f\u00e9vrier 2024\\] Ajout de\nrecommandations.**\n\nAfin de pr\u00e9venir l\u0027exploitation \u00e0 distance de cette vuln\u00e9rabilit\u00e9, le\nCERT-FR recommande:\n\n-   D\u2019appliquer la mise \u00e0 jour fournie par Microsoft dans les meilleurs\n    d\u00e9lais. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour\n    l\u0027obtention des correctifs (cf. section Documentation).\n-   De limiter l\u0027utilisation de NTLMv2 et d\u0027activer les mesures de\n    protection contre les attaques relais pr\u00e9conis\u00e9es par l\u0027\u00e9diteur\n    \\[2\\] ainsi que les recommandations (R71 \u00e0 R77) relatives \u00e0\n    l\u0027administration s\u00e9curis\u00e9e des syst\u00e8mes d\u0027information reposant sur\n    microsoft active directory \\[3\\]\n-   D\u0027interdire les flux SMB \u003cspan\n    style=\"text-decoration: underline;\"\u003een sortie du syst\u00e8me\n    d\u0027information\u003c/span\u003e (TCP/445). Cette r\u00e8gle s\u0027impose \u00e9galement aux\n    postes nomades, dont les flux doivent \u00eatre s\u00e9curis\u00e9s.\n-   De d\u00e9tecter des liens malveillants dans les courriels re\u00e7us, par\n    exemple en utilisant une expression r\u00e9guli\u00e8re (voir la r\u00e8gle Yara\n    \\[1\\]). Le CERT-FR n\u0027est pas en mesure de garantir les r\u00e9sultats\n    obtenus par cette r\u00e8gle de d\u00e9tection, qui devront donc \u00eatre\n    qualifi\u00e9s.\n\n**\\[Publication initiale\\]**\n\nLe CERT-FR recommande fortement d\u2019appliquer la mise \u00e0 jour fournie par\nMicrosoft. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2024-21413",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21413"
    }
  ],
  "initial_release_date": "2024-02-15T00:00:00",
  "last_revision_date": "2024-04-15T00:00:00",
  "links": [
    {
      "title": "[1] R\u00e8gle Yara de d\u00e9tection de la vuln\u00e9rabilit\u00e9 CVE-2024-21413 propos\u00e9e par X__Junior et Florian Roth",
      "url": "https://github.com/Neo23x0/signature-base/blob/master/yara/expl_outlook_cve_2024_21413.yar"
    },
    {
      "title": "Avis CERTFR-2024-AVI-0127 du 14 f\u00e9vrier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0127/"
    },
    {
      "title": "[2] Base de connaissance Microsoft",
      "url": "https://support.microsoft.com/fr-fr/topic/kb5005413-att%C3%A9nuation-des-attaques-de-relais-ntlm-sur-les-services-de-certificats-active-directory-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429"
    },
    {
      "title": "[3] Recommandations relatives \u00e0 l\u0027administration s\u00e9curis\u00e9e des syst\u00e8mes d\u0027information reposant sur microsoft active directory. Document ANSSI-PA-099 version 1.0 du 02 octobre 2023",
      "url": "https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad"
    }
  ],
  "reference": "CERTFR-2024-ALE-005",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-02-15T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations et de pr\u00e9cisions sur le fonctionnement de la vuln\u00e9rabilit\u00e9",
      "revision_date": "2024-02-22T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations concernant l\u0027utilisation de NTLM",
      "revision_date": "2024-03-15T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cspan style=\"color: red;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 15 mars 2024\\] Ajout de\npr\u00e9cision concernant les d\u00e9fi-r\u00e9ponses NTLM\u003c/strong\u003e\u003c/span\u003e\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 22 f\u00e9vrier 2024\\] \u003cspan\nclass=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eAjout de\nrecommandations et de pr\u00e9cisions sur le fonctionnement de la\nvuln\u00e9rabilit\u00e9.\u003c/span\u003e\u003c/strong\u003e\n\nLa vuln\u00e9rabilit\u00e9 CVE-2024-21413 permet \u00e0 un attaquant de contourner les\nmesures de s\u00e9curit\u00e9 de la suite Office, dont la solution de messagerie\nOutlook. Plus pr\u00e9cis\u00e9ment, son exploitation permet de contourner\ncertaines mesures de s\u00e9curit\u00e9 de la suite Office qui emp\u00eachent l\u0027acc\u00e8s \u00e0\nune ressource externe sans validation de l\u0027utilisateur.\n\nAinsi, en utilisant un lien malveillant dans un courriel, un attaquant\nest en mesure :\n\n-   d\u0027obtenir la r\u00e9ponse \u00e0 un d\u00e9fi-r\u00e9ponse li\u00e9 \u00e0 l\u0027authentification de\n    l\u0027utilisateur, par exemple *via* le protocole SMB. Ce d\u00e9fi-r\u00e9ponse\n    d\u00e9pend de la configuration syst\u00e8me et est commun\u00e9ment au format\n    NTLMv2. Ce comportement combin\u00e9 \u00e0 une attaque de type \"relais NTLM\"\n    permettrait \u00e0 un attaque de r\u00e9aliser une coercition\n    d\u0027authentification.\n-   si la cible du lien est un document Office, de provoquer l\u0027ouverture\n    du document sans que le mode prot\u00e9g\u00e9 de Microsoft Office ne soit\n    activ\u00e9, permettant *in fine* une ex\u00e9cution de code arbitraire \u00e0\n    distance.\n\n\u003cstrong\u003e\\[Publication initiale\\]\u003c/strong\u003e\n\nLe 13 f\u00e9vrier 2024, Microsoft a publi\u00e9 un correctif pour la\nvuln\u00e9rabilit\u00e9 \u003cspan class=\"css-200\"\u003eCVE-2024-21413\u003c/span\u003e affectant le\nproduit Outlook pour Windows.  \nElle permet \u00e0 un attaquant non authentifi\u00e9 \u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003ede divulguer le condensat\n\u003c/span\u003e*NTLM* (*new technology LAN manager*) local et potentiellement\nune ex\u00e9cution de code arbitraire \u00e0 distance.  \nSon exploitation n\u00e9cessite une intervention de l\u0027utilisateur.\n\nUne preuve de concept partielle ainsi qu\u0027un descriptif de la\nvuln\u00e9rabilit\u00e9 ont \u00e9t\u00e9 publi\u00e9s par le chercheur auteur de sa d\u00e9couverte.\n\nLe CERT-FR n\u0027a pas connaissance d\u0027exploitation pour le moment. En\nfonction de l\u0027\u00e9volution de la situation, cette alerte est susceptible\nd\u0027\u00eatre mise \u00e0 jour.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Outlook",
  "vendor_advisories": [
    {
      "published_at": "2024-02-13",
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413"
    }
  ]
}

CVE-2024-21413 (GCVE-0-2024-21413)

Vulnerability from cvelistv5

Published

2024-02-13 18:02

Modified

2025-07-30 01:37

Severity ?

9.8 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

CWE

CWE-20 - Improper Input Validation

Summary

Microsoft Outlook Remote Code Execution Vulnerability

References

URL

Tags

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413

vendor-advisory

Impacted products

Vendor

Product

Version

Microsoft

Microsoft Office 2019

Version: 19.0.0 < https://aka.ms/OfficeSecurityReleases

Microsoft	Microsoft 365 Apps for Enterprise	Version: 16.0.1 < https://aka.ms/OfficeSecurityReleases
Microsoft	Microsoft Office LTSC 2021	Version: 16.0.1 < https://aka.ms/OfficeSecurityReleases
Microsoft	Microsoft Office 2016	Version: 16.0.0 < 16.0.5435.1001

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2024-21413",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2025-02-07T04:55:29.467185Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2025-02-06",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-21413"
              },
              "type": "kev"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-07-30T01:37:07.327Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "timeline": [
          {
            "lang": "en",
            "time": "2025-02-06T00:00:00+00:00",
            "value": "CVE-2024-21413 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      },
      {
        "providerMetadata": {
          "dateUpdated": "2025-05-29T14:06:52.678Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "url": "https://www.vicarius.io/vsociety/posts/cve-2024-21413-critical-monikerlink-vulnerability-affecting-microsoft-outlook-mitigation-script"
          },
          {
            "url": "https://www.vicarius.io/vsociety/posts/cve-2024-21413-critical-monikerlink-vulnerability-affecting-microsoft-outlook-detection-script"
          },
          {
            "name": "Microsoft Outlook Remote Code Execution Vulnerability",
            "tags": [
              "vendor-advisory",
              "x_transferred"
            ],
            "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://research.checkpoint.com/2024/the-risks-of-the-monikerlink-bug-in-microsoft-outlook-and-the-big-picture/"
          }
        ],
        "title": "CVE Program Container",
        "x_generator": {
          "engine": "ADPogram 0.0.1"
        }
      }
    ],
    "cna": {
      "affected": [
        {
          "platforms": [
            "32-bit Systems",
            "x64-based Systems"
          ],
          "product": "Microsoft Office 2019",
          "vendor": "Microsoft",
          "versions": [
            {
              "lessThan": "https://aka.ms/OfficeSecurityReleases",
              "status": "affected",
              "version": "19.0.0",
              "versionType": "custom"
            }
          ]
        },
        {
          "platforms": [
            "32-bit Systems",
            "x64-based Systems"
          ],
          "product": "Microsoft 365 Apps for Enterprise",
          "vendor": "Microsoft",
          "versions": [
            {
              "lessThan": "https://aka.ms/OfficeSecurityReleases",
              "status": "affected",
              "version": "16.0.1",
              "versionType": "custom"
            }
          ]
        },
        {
          "platforms": [
            "x64-based Systems",
            "32-bit Systems"
          ],
          "product": "Microsoft Office LTSC 2021",
          "vendor": "Microsoft",
          "versions": [
            {
              "lessThan": "https://aka.ms/OfficeSecurityReleases",
              "status": "affected",
              "version": "16.0.1",
              "versionType": "custom"
            }
          ]
        },
        {
          "platforms": [
            "32-bit Systems",
            "x64-based Systems"
          ],
          "product": "Microsoft Office 2016",
          "vendor": "Microsoft",
          "versions": [
            {
              "lessThan": "16.0.5435.1001",
              "status": "affected",
              "version": "16.0.0",
              "versionType": "custom"
            }
          ]
        }
      ],
      "cpeApplicability": [
        {
          "nodes": [
            {
              "cpeMatch": [
                {
                  "criteria": "cpe:2.3:a:microsoft:office:*:*:*:*:*:*:*:*",
                  "versionEndExcluding": "https://aka.ms/OfficeSecurityReleases",
                  "versionStartIncluding": "19.0.0",
                  "vulnerable": true
                },
                {
                  "criteria": "cpe:2.3:a:microsoft:365_apps:*:*:*:*:enterprise:*:*:*",
                  "versionEndExcluding": "https://aka.ms/OfficeSecurityReleases",
                  "versionStartIncluding": "16.0.1",
                  "vulnerable": true
                },
                {
                  "criteria": "cpe:2.3:a:microsoft:office_long_term_servicing_channel:*:*:*:*:*:*:*:*",
                  "versionEndExcluding": "https://aka.ms/OfficeSecurityReleases",
                  "versionStartIncluding": "16.0.1",
                  "vulnerable": true
                },
                {
                  "criteria": "cpe:2.3:a:microsoft:office:*:*:*:*:*:*:x86:*",
                  "versionEndExcluding": "16.0.5435.1001",
                  "versionStartIncluding": "16.0.0",
                  "vulnerable": true
                }
              ],
              "negate": false,
              "operator": "OR"
            }
          ]
        }
      ],
      "datePublic": "2024-02-13T08:00:00.000Z",
      "descriptions": [
        {
          "lang": "en-US",
          "value": "Microsoft Outlook Remote Code Execution Vulnerability"
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "baseScore": 9.8,
            "baseSeverity": "CRITICAL",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C",
            "version": "3.1"
          },
          "format": "CVSS",
          "scenarios": [
            {
              "lang": "en-US",
              "value": "GENERAL"
            }
          ]
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-20",
              "description": "CWE-20: Improper Input Validation",
              "lang": "en-US",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2025-05-03T01:37:18.499Z",
        "orgId": "f38d906d-7342-40ea-92c1-6c4a2c6478c8",
        "shortName": "microsoft"
      },
      "references": [
        {
          "name": "Microsoft Outlook Remote Code Execution Vulnerability",
          "tags": [
            "vendor-advisory"
          ],
          "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413"
        }
      ],
      "title": "Microsoft Outlook Remote Code Execution Vulnerability"
    }
  },
  "cveMetadata": {
    "assignerOrgId": "f38d906d-7342-40ea-92c1-6c4a2c6478c8",
    "assignerShortName": "microsoft",
    "cveId": "CVE-2024-21413",
    "datePublished": "2024-02-13T18:02:24.799Z",
    "dateReserved": "2023-12-08T22:45:21.300Z",
    "dateUpdated": "2025-07-30T01:37:07.327Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CERTFR-2024-ALE-005

Vulnerability from certfr_alerte

Solution

CVE-2024-21413 (GCVE-0-2024-21413)

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature