La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les mesures de sécurité de la suite Office, dont la solution de messagerie Outlook.
Le 13 février 2024, Microsoft a publié un correctif pour la vulnérabilité CVE-2024-21413 affectant le produit Outlook pour Windows. Elle permet à un attaquant non authentifié de divulguer le condensat NTLM (new technology LAN manager) local et potentiellement une exécution de code arbitraire à distance. Son exploitation nécessite une intervention de l’utilisateur. En utilisant un lien malveillant dans un courriel, un attaquant est en mesure :
- d’obtenir le condensat NTLM de l’utilisateur, par exemple via le protocole SMB ;
- si la cible du lien est un document Office, de provoquer l’ouverture du document sans que le mode protégé de Microsoft Office ne soit activé, permettant in fine une exécution de code arbitraire à distance.
Systèmes affectés :
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office LTSC 2021
- Microsoft 365 Apps
Lire aussi...
L'article de la semaine
Recommandations
Afin de prévenir l’exploitation à distance de cette vulnérabilité, le CERT-FR recommande :
- D’appliquer la mise à jour fournie par Microsoft dans les meilleurs délais. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
- D’interdire les flux SMB en sortie du système d’information (TCP/445). Cette règle s’impose également aux postes nomades, dont les flux doivent être sécurisés.
- De détecter des liens malveillants dans les courriels reçus, par exemple en utilisant une expression régulière (Exemple : règle Yara).
La rédaction avec CERT-FR
