Ce piratage de mot de passe signifie que votre employeur doit mettre à jour Microsoft Outlook dès aujourd’hui
Les pirates informatiques sont constamment à la recherche de nouveaux moyens d’infiltrer les réseaux sécurisés. C’est un défi difficile à relever car toutes les entreprises responsables investissent dans la sécurité. Une méthode qui sera toujours efficace, cependant, est l’utilisation de nouvelles vulnérabilités dans les produits logiciels populaires.
Une vulnérabilité a récemment été découverte dans Outlook, qui permet aux pirates de voler des mots de passe en envoyant simplement un courrier électronique au titulaire du compte. Un correctif a été publié, mais de nombreuses entreprises n’ont pas encore mis à jour leur version d’Outlook.
Quelle est donc cette vulnérabilité et comment les entreprises peuvent-elles s’en prémunir ?
Qu’est-ce que la vulnérabilité CVE-2023-23397 ?
La vulnérabilité CVE-2023-23397 est une vulnérabilité d’escalade des privilèges qui affecte Microsoft Outlook fonctionnant sous Windows.
Cette vulnérabilité aurait été utilisée d’avril à décembre 2022 par des acteurs étatiques à l’encontre d’un large éventail d’industries. Un correctif a été publié en mars 2023.
Bien que la publication d’un correctif signifie que les organisations peuvent facilement se défendre contre cette vulnérabilité, le fait qu’elle soit maintenant fortement médiatisée signifie que le risque pour les entreprises qui n’appliquent pas de correctif a augmenté.
Il n’est pas rare que des vulnérabilités utilisées initialement par des États-nations soient largement utilisées par des pirates informatiques individuels et des groupes de pirates informatiques une fois que leur disponibilité est connue.
Qui est visé par la vulnérabilité de Microsoft Outlook ?
La vulnérabilité CVE-2023-23397 n’est efficace que contre Outlook fonctionnant sous Windows. Les utilisateurs d’Android, d’Apple et du web ne sont pas concernés et n’ont pas besoin de mettre à jour leur logiciel.
Il est peu probable que les particuliers soient ciblés, car cela n’est pas aussi rentable que de cibler une entreprise. Toutefois, si un particulier utilise Outlook pour Windows, il doit quand même mettre à jour son logiciel.
Les entreprises sont susceptibles d’être la cible principale car elles sont nombreuses à utiliser Outlook pour Windows afin de protéger leurs données importantes. La facilité avec laquelle l’attaque peut être menée, et le nombre d’entreprises qui utilisent le logiciel, signifient que la vulnérabilité est susceptible de s’avérer populaire auprès des pirates.
Comment fonctionne la vulnérabilité ?
Cette attaque utilise un courriel avec des propriétés spécifiques qui amènent Microsoft Outlook à révéler le hachage NTLM de la victime. NTLM signifie New Technology LAN Master et ce hachage peut être utilisé pour l’authentification du compte de la victime.
L’email acquiert le hachage en utilisant une propriété MAPI (Microsoft Outlook Messaging Application Programming Interface) étendue qui contient le chemin d’un partage Server Message Block qui est contrôlé par l’attaquant.
Lorsque Outlook reçoit ce courriel, il tente de s’authentifier auprès du partage SMB à l’aide de son hachage NTLM. Le pirate qui contrôle le partage SMB est alors en mesure d’accéder au hachage.
Pourquoi la vulnérabilité d’Outlook est-elle si efficace ?
CVE-2023-23397 est une vulnérabilité efficace pour un certain nombre de raisons :
- Outlook est utilisé par un grand nombre d’entreprises. Cela le rend attrayant pour les pirates.
- La vulnérabilité CVE-2023-23397 est facile à utiliser et sa mise en œuvre ne nécessite pas de grandes connaissances techniques.
- La vulnérabilité CVE-2023-23397 est difficile à combattre. La plupart des attaques basées sur le courrier électronique exigent que le destinataire interagisse avec le courrier électronique. Cette vulnérabilité est efficace sans aucune interaction. Pour cette raison, sensibiliser les employés aux courriels d’hameçonnage ou leur dire de ne pas télécharger les pièces jointes aux courriels (c’est-à-dire les méthodes traditionnelles pour éviter les courriels malveillants) n’a aucun effet.
- Cette attaque n’utilise aucun type de logiciel malveillant. C’est pourquoi elle ne sera pas détectée par les logiciels de sécurité.
Que se passe-t-il pour les victimes de cette vulnérabilité ?
La vulnérabilité CVE-2023-23397 permet à un attaquant d’accéder au compte de la victime. Le résultat dépend donc de ce à quoi la victime a accès. L’attaquant peut voler des données ou lancer une attaque par ransomware.
Si la victime a accès à des données privées, l’attaquant peut les voler. Dans le cas des informations sur les clients, elles peuvent être vendues sur le dark web. Cela est non seulement problématique pour les clients, mais aussi pour la réputation de l’entreprise.
L’attaquant peut également être en mesure de crypter des informations privées ou importantes à l’aide d’un ransomware. Après une attaque réussie par ransomware, toutes les données sont inaccessibles à moins que l’entreprise ne paie une rançon à l’attaquant (et même dans ce cas, les cybercriminels peuvent décider de ne pas décrypter les données).
Comment vérifier si vous êtes affecté par la vulnérabilité CVE-2023-23397
Si vous pensez que votre entreprise a déjà été touchée par cette vulnérabilité, vous pouvez vérifier votre système automatiquement à l’aide d’un script PowerShell de Microsoft. Ce script recherche dans vos fichiers les paramètres utilisés dans cette attaque. Après les avoir trouvés, vous pouvez les supprimer de votre système. Le script est accessible à l’adresse suivante via Microsoft.
Comment se protéger contre cette vulnérabilité
La meilleure façon de se protéger contre cette vulnérabilité est de mettre à jour tous les logiciels Outlook. Microsoft a publié un correctif le 14 mars 2023, et une fois installé, toute tentative d’attaque sera inefficace.
Bien que la mise à jour des logiciels devrait être une priorité pour toutes les entreprises, si, pour une raison quelconque, cela n’est pas possible, il existe d’autres moyens d’empêcher cette attaque de réussir. Il s’agit notamment de :
- Bloquer la sortie TCP 445. Cette attaque utilise le port 445 et si aucune communication n’est possible via ce port, l’attaque échouera. Si vous avez besoin du port 445 à d’autres fins, vous devez surveiller tout le trafic sur ce port et bloquer tout ce qui va vers une adresse IP externe.
- Ajoutez tous les utilisateurs au groupe de sécurité des utilisateurs protégés. Tout utilisateur de ce groupe ne peut pas utiliser NTLM comme méthode d’authentification. Il est important de noter que cela peut également interférer avec les applications qui s’appuient sur NTLM.
- Demander à tous les utilisateurs de désactiver le paramètre Afficher les rappels dans Outlook. Cela peut empêcher l’attaquant d’accéder aux informations d’identification NTLM.
- Demandez à tous les utilisateurs de désactiver le service WebClient. Il est important de noter que cela empêchera toutes les connexions WebDev, y compris sur l’intranet, et n’est donc pas nécessairement une option appropriée.
Vous devez appliquer un correctif contre la vulnérabilité CVE-2023-23397
La vulnérabilité CVE-2023-23397 est importante en raison de la popularité d’Outlook et de la quantité d’accès qu’elle offre à un attaquant. Une attaque réussie permet au cyber-attaquant d’accéder au compte de la victime, ce qui peut être utilisé pour voler ou crypter des données.
La seule façon de se protéger correctement contre cette attaque est de mettre à jour le logiciel Outlook avec le correctif nécessaire que Microsoft a mis à disposition. Toute entreprise qui ne le fait pas est une cible attrayante pour les pirates.
S’abonner à notre lettre d’information
Pourquoi Outlook continue-t-il à me dire que mon mot de passe est erroné ?
Effacer les mots de passe mis en cache Si les données de connexion de votre profil enregistrées sur Windows sont incorrectes, Outlook a tendance à continuer à vous demander un mot de passe. Il suffit donc d’effacer les informations d’identification enregistrées comme mots de passe mis en cache sur votre système en procédant comme suit : Quittez Outlook.
Comment puis-je savoir si quelqu’un a accès à ma messagerie Outlook ?
Si vous recevez un courriel concernant une activité inhabituelle sur votre compte Microsoft, ou si vous craignez que quelqu’un d’autre ait pu utiliser votre compte, rendez-vous sur la page Activité récente. Vous verrez quand votre compte Microsoft a été connecté au cours des 30 derniers jours, ainsi que les informations spécifiques à l’appareil ou à l’application.
Pourquoi est-ce que je reçois toujours une fenêtre contextuelle de sécurité Windows dans Outlook ?
De nombreux utilisateurs d’Outlook se sont récemment plaints de l’apparition d’une fenêtre contextuelle « Sécurité Windows Microsoft Outlook ». L’invite réapparaît même s’ils choisissent d’annuler ou de se connecter. Les mises à jour récentes de Windows Outlook et les paramètres d’Outlook peuvent être en cause si votre application Outlook demande votre mot de passe de manière répétée.
Comment corriger la fenêtre contextuelle du nom d’utilisateur et du mot de passe dans Outlook ?
Choisissez Fichier | Paramètres du compte | Paramètres du compte Cliquez sur le bouton Modifier. Cliquez sur le bouton Autres paramètres. Sélectionnez l’onglet Sécurité. Désélectionnez la case « Toujours demander les identifiants de connexion ».