Une alerte majeure a été lancée par le CERT-FR sous la référence CERTFR-2024-ALE-005, concernant une vulnérabilité critique affectant Microsoft Outlook, partie intégrante de la suite Microsoft Office. Cet article vise à décomposer et analyser cette vulnérabilité, désignée sous le nom de CVE-2024-21413, ainsi que les recommandations pour y remédier.
Contexte et systèmes affectés
La vulnérabilité touche les versions de Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, ainsi que Microsoft 365 Apps, exclusivement dans leur composant Outlook. Il est important de noter que l’interface web Outlook Web Application (OWA) n’est pas concernée par cette faille.
Risques associés
La faille CVE-2024-21413 présente des risques significatifs, notamment l’exécution de code arbitraire à distance et une atteinte potentielle à la confidentialité des données des utilisateurs. Le mode d’exploitation de cette vulnérabilité repose sur l’envoi d’un lien malveillant par courriel, pouvant aboutir à :
- L’obtention du condensat NTLM de l’utilisateur via le protocole SMB.
- L’ouverture d’un document Office ciblé par le lien malveillant sans activation du mode protégé de Microsoft Office, ouvrant la porte à une exécution de code arbitraire à distance.
Mesures de protection et recommandations
Face à cette menace, le CERT-FR a publié une série de recommandations le 22 février 2024, insistant sur l’importance d’agir rapidement pour limiter les risques d’exploitation de cette vulnérabilité.
Application immédiate du correctif : Il est crucial d’appliquer la mise à jour fournie par Microsoft sans délai. Les détails pour l’obtention de ce correctif sont disponibles sur le bulletin de sécurité de Microsoft daté du 13 février 2024.
Interdiction des flux SMB en sortie : Pour renforcer la sécurité, il est recommandé d’interdire les flux SMB sortants (TCP/445), y compris pour les postes nomades, afin de sécuriser les flux de données.
Détection de liens malveillants : L’usage d’expressions régulières et de règles Yara peut aider à identifier les tentatives d’attaque via courriel. Cependant, le CERT-FR précise que l’efficacité de ces règles doit être évaluée avec prudence.
Documentation et ressources
Pour plus d’informations, les utilisateurs et administrateurs système sont encouragés à consulter le bulletin de sécurité Microsoft ainsi que les ressources suivantes :
- La règle Yara de détection de la vulnérabilité CVE-2024-21413, proposée par les chercheurs X__Junior et Florian Roth, disponible sur GitHub.
- L’avis CERTFR-2024-AVI-0127 du 14 février 2024, consultable sur le site du CERT-FR.
La découverte de la vulnérabilité CVE-2024-21413 dans Microsoft Outlook rappelle l’importance de la vigilance et de la réactivité face aux menaces informatiques. L’application des mises à jour de sécurité, la restriction des flux potentiellement dangereux et une surveillance accrue des communications par courriel sont des mesures essentielles pour protéger les informations personnelles et les infrastructures IT.
Source de l'article et pour en savoir plus : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-005/