Une rare Alerte Cyber est diffusée en France pour Microsoft Outlook. De telles alertes pourraient devenir de plus en plus fréquentes au cours des prochains mois.
Depuis juillet 2021, un dispositif Alerte Cyber a été mis en place par le gouvernement afin d'informer les entreprises, collectivités et associations d'une menace de cybersécurité, et les inciter à prendre rapidement les mesures de protection idoines.S'appuyant sur l'Anssi (Agence nationale de la sécurité des systèmes d'information) et la plateforme Cybermalveillance.gouv.fr, le dispositif Alerte Cyber a été mis à contribution à trois reprises en 2021, cinq fois en 2022 et seulement deux fois l'année dernière.
Il sonne aujourd'hui l'alerte pour une vulnérabilité de sécurité critique affectant Microsoft Outlook. Les produits affectés sont Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021 et les applications Microsoft 365 (Microsoft 365 Apps for Enterprise). La version web d'Outlook n'est pas touchée.
" L'exploitation de cette vulnérabilité par une personne malveillante peut lui permettre la prise de contrôle à distance des équipements concernés et le vol, voire la destruction, d'informations confidentielles ", peut-on lire dans l'alerte. " Mettez à jour au plus vite les équipements concernés avec le correctif de sécurité mis à disposition par l'éditeur. "
Patch Tuesday de février 2024
La vulnérabilité en question est référencée CVE-2024-21413. Elle a fait l'objet d'une correction dans le cadre du Patch Tuesday de Microsoft de ce mois de février. Lors de la publication du correctif, Microsoft n'avait initialement pas fait état d'une exploitation active dans des attaques.
Les heures suivantes, il y a eu un imbroglio. L'avis de sécurité de Microsoft a été modifié pour signaler une exploitation de la vulnérabilité, puis il a été une nouvelle fois mis à jour pour contredire une exploitation qui serait peu probable.
Dans l'entremise, Check Point Research avait publié un rapport sur un bug dit #MonikerLink en lien avec la vulnérabilité, et la démonstration que des hyperliens file:// peuvent être manipulés afin de contourner les mesures de sécurité d'Outlook, comme le mode Protected View (mode protégé pour bloquer les injections de code malveillant).Sur le qui-vive en cette période
L'Anssi écrit qu'avec un lien malveillant dans un e-mail, un attaquant peut obtenir " le condensat NTLM (ndlr : New Technology LAN Manager) de l'utilisateur, par exemple via le protocole SMB. […] Si la cible du lien est un document Office, un attaquant est en mesure de provoquer l'ouverture du document sans que le mode protégé de Microsoft Office ne soit activé, permettant in fine une exécution du code arbitraire à distance. "
Hormis l'application de la mise à jour de sécurité de Microsoft, l'Anssi recommande également d'interdire les flux SMB en sortie du système d'information (TCP/445). À l'approche des Jeux Olympiques et Paralympiques de Paris 2024, le dispositif Alerte Cyber est susceptible d'être particulièrement sensible.
merci à GNT