Des détails techniques ont été révélés sur deux failles de sécurité désormais corrigées dans Microsoft Windows qui pourraient être enchaînées par des acteurs malveillants pour permettre l’exécution de code à distance sur le service de messagerie Outlook sans aucune interaction de l’utilisateur.
« Un attaquant sur Internet peut enchaîner les vulnérabilités pour créer un exploit d’exécution de code à distance (RCE) complet et sans clic contre les clients Outlook », a déclaré Ben Barnea, chercheur en sécurité d’Akamai, qui a découvert les vulnérabilités. en deux parties rapport partagé avec The Hacker News.
Les problèmes de sécurité, qui ont été résolus par Microsoft respectivement en août et octobre 2023, sont répertoriés ci-dessous :
- CVE-2023-35384 (score CVSS : 5,4) – Vulnérabilité de contournement des fonctionnalités de sécurité des plates-formes HTML Windows
- CVE-2023-36710 (score CVSS : 7,8) – Vulnérabilité d’exécution de code à distance de base de Windows Media Foundation
CVE-2023-35384 a été décrit par Akamai comme un contournement d’une faille de sécurité critique que Microsoft a corrigée en mars 2023. Suivie comme CVE-2023-23397 (score CVSS : 9,8), la faille concerne un cas d’élévation de privilèges qui pourrait entraîner le vol des informations d’identification NTLM et permettre à un attaquant de mener une attaque par relais.
Plus tôt ce mois-ci, Microsoft, Proofpoint et Palo Alto Networks Unit 42 ont révélé qu’un acteur malveillant russe connu sous le nom d’APT29 utilisait activement le bug pour obtenir un accès non autorisé aux comptes des victimes sur les serveurs Exchange.
Il convient de noter que CVE-2023-35384 est également le deuxième contournement de correctif après CVE-2023-29324, qui a également été découvert par Barnea puis corrigé par Redmond dans le cadre des mises à jour de sécurité de mai 2023.
« Nous avons trouvé un autre contournement de la vulnérabilité d’origine d’Outlook, un contournement qui nous a permis une fois de plus de contraindre le client à se connecter à un serveur contrôlé par un attaquant et à télécharger un fichier audio malveillant », a déclaré Barnea.
CVE-2023-35384, comme CVE-2023-29324, est enraciné dans l’analyse d’un chemin par le Fonction MapUrlToZone qui pourrait être exploité en envoyant un email contenant un fichier malveillant ou une URL à un client Outlook.
« Il existe une vulnérabilité de contournement des fonctionnalités de sécurité lorsque la plate-forme MSHTML ne parvient pas à valider la zone de sécurité correcte des requêtes pour des URL spécifiques. Cela pourrait permettre à un attaquant d’amener un utilisateur à accéder à une URL dans une zone de sécurité Internet moins restreinte que prévu », a noté Microsoft. dans son avis.
Ce faisant, la vulnérabilité peut non seulement être utilisée pour divulguer les informations d’identification NTLM, mais peut également être liée à la faille d’analyse sonore (CVE-2023-36710) pour télécharger un fichier audio personnalisé qui, lorsqu’il est lu automatiquement à l’aide de la fonction sonore de rappel d’Outlook, peut conduire à une exécution de code sans clic sur la machine victime.
CVE-2023-36710 impacte le gestionnaire de compression audio (ACM), un ancien framework multimédia Windows utilisé pour gérer les codecs audio et qui est le résultat d’une vulnérabilité de dépassement d’entier qui se produit lors de la lecture d’un fichier WAV.
« Enfin, nous avons réussi à déclencher la vulnérabilité en utilisant le codec IMA ADP », a expliqué Barnea. « La taille du fichier est d’environ 1,8 Go. En effectuant l’opération de limite mathématique sur le calcul, nous pouvons conclure que la plus petite taille de fichier possible avec le codec IMA ADP est de 1 Go. »
Pour atténuer les risques, il est recommandé aux organisations d’utiliser la microsegmentation pour bloquer les connexions SMB sortantes vers des adresses IP publiques distantes. De plus, il est également conseillé soit de désactiver NTLM, soit d’ajouter des utilisateurs au Groupe de sécurité Utilisateurs protégésce qui empêche l’utilisation de NTLM comme mécanisme d’authentification.