Un laboratoire de sécurité a découvert une grave vulnérabilité dans Microsoft Outlook ciblant les entreprises gouvernementales, militaires, énergétiques et de transport européennes est en train d'être utilisé. La vulnérabilité porte la désignation CVE-2023-23397 et est classée selon le Common Vulnerability Scoring System (CVSS) avec une valeur de 9.8. Le BSI indique également : L'attaque se produit avant que l'e-mail ne soit ouvert ou avant qu'il ne s'affiche dans la fenêtre de prévisualisation - aucune action du destinataire n'est nécessaire !
La vulnérabilité permet à un attaquant non autorisé de compromettre les systèmes avec un e-mail spécialement conçu. Cet e-mail malveillant lui donne un accès non autorisé aux informations d'identification du destinataire.
Les attaques augmenteront
"Maintenant que les premières preuves de concept ont déjà été publiées, on peut supposer que les attaques sur la vulnérabilité CVE-2023-23397 vont augmenter", explique Umut Alemdar, Head of Security Lab chez Hornetsecurity. "Nous recommandons donc à tous les utilisateurs de Microsoft Outlook d'installer dès que possible les correctifs de sécurité fournis par Microsoft."
Grâce à Advanced Thread Protection (ATP), le système de sécurité moderne de Hornetsecurity est capable de mettre en quarantaine les e-mails qui souhaitent exploiter cette vulnérabilité. "Cela empêche les e-mails d'atteindre la boîte de réception de la victime", poursuit Alemdar. « Grâce à ATP, nos clients sont déjà protégés de ce danger. De plus, le Security Lab de Hornetsecurity s'est donné pour mission de surveiller le paysage des menaces avec des yeux d'aigle afin de continuer à garantir à nos clients la meilleure protection possible contre les dernières cybermenaces ».
Attaque avant aperçu
La vulnérabilité Outlook est déjà initiée par le client Outlook qui récupère et traite un e-mail malveillant. Une attaque peut donc se produire avant même que l'e-mail ne soit affiché dans la fenêtre de prévisualisation. L'agresseur dirige sa victime dans un environnement qu'il contrôle. Cela entraîne la fuite du hachage Net-NTLMv2 de la victime, un protocole de défi-réponse utilisé pour l'authentification dans les environnements Windows. L'attaquant peut transmettre ces informations à un autre service, s'authentifiant ainsi en tant que victime et compromettant davantage le système.
L'attaque s'avère moins complexe et, selon Microsoft, a déjà été observée dans la pratique. La vulnérabilité a été utilisée pour attaquer le gouvernement européen, les entreprises militaires, énergétiques et de transport. Microsoft a été notifié pour la première fois de CVE-2023-233397 par CERT-UA (Computer Emergency Response Team for Ukraine). Une preuve de concept créée par l'équipe Security Lab de Hornetsecurity montre que l'attaque est particulièrement difficile à détecter : tous les services anti-malware et sandbox inclus dans VirusTotal n'ont pas réussi à la classer comme dangereuse.
Plus sur Hornetsecurity.com
À propos de Hornet Security Hornetsecurity est le premier fournisseur allemand de sécurité cloud pour le courrier électronique en Europe et protège l'infrastructure informatique, la communication numérique et les données des entreprises et des organisations de toutes tailles. Le spécialiste de la sécurité de Hanovre fournit ses services via 10 centres de données sécurisés de manière redondante dans le monde entier. Le portefeuille de produits comprend tous les domaines importants de la sécurité des e-mails, des filtres anti-spam et antivirus à l'archivage et au cryptage conformes à la loi, en passant par la défense contre la fraude du PDG et les ransomwares. Hornetsecurity est représenté dans le monde entier avec environ 200 employés sur 12 sites et opère avec son réseau international de revendeurs dans plus de 30 pays.