Une faille de sécurité désormais corrigée dans Microsoft Outlook pourrait être exploitée par des acteurs malveillants pour accéder aux mots de passe hachés NT LAN Manager (NTLM) v2 lors de l’ouverture d’un fichier spécialement conçu.
Le problème, suivi comme CVE-2023-35636 (score CVSS : 6,5), a été résolu par le géant de la technologie dans le cadre de ses mises à jour du Patch Tuesday de décembre 2023.
« Dans un scénario d’attaque par courrier électronique, un attaquant pourrait exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le convainquant d’ouvrir le fichier », a déclaré Microsoft. dit dans un avis publié le mois dernier.
Dans un scénario d’attaque Web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge du contenu fourni par l’utilisateur) contenant un fichier spécialement conçu pour exploiter la vulnérabilité.
En d’autres termes, l’adversaire devrait convaincre les utilisateurs de cliquer sur un lien, soit intégré dans un e-mail de phishing, soit envoyé via un message instantané, puis les inciter à ouvrir le fichier en question.
CVE-2023-35636 est enraciné dans la fonction de partage de calendrier de l’application de messagerie Outlook, dans laquelle un message électronique malveillant est créé en insérant deux en-têtes « Content-Class » et « x-sharing-config-url » avec des valeurs contrefaites afin d’exposer le hachage NTLM d’une victime lors de l’authentification.
Dolev Taler, chercheur en sécurité chez Varonis, qui a découvert et signalé le bug, a déclaré que les hachages NTLM pourraient être divulgués en exploitant Windows Performance Analyzer (WPA) et l’Explorateur de fichiers Windows. Ces deux méthodes d’attaque restent cependant non corrigées.
« Ce qui rend cela intéressant, c’est que WPA tente de s’authentifier à l’aide de NTLM v2 sur le Web ouvert », déclare Taler. dit.
« Habituellement, NTLM v2 doit être utilisé lors d’une tentative d’authentification auprès de services internes basés sur l’adresse IP. Cependant, lorsque le hachage NTLM v2 passe par l’Internet ouvert, il est vulnérable aux attaques par force brute par relais et hors ligne. »
Cette divulgation intervient alors que Check Point a révélé un cas « d’authentification forcée » qui pourrait être utilisée pour divulguer les jetons NTLM d’un utilisateur Windows en incitant une victime à ouvrir un fichier Microsoft Access malveillant.
Microsoft, en octobre 2023, a annoncé son intention d’abandonner NTLM dans Windows 11 au profit de Kerberos pour améliorer la sécurité, car il ne prend pas en charge les méthodes cryptographiques et est susceptible d’effectuer des attaques par relais.