Actualités

Comprendre et contrer la vulnérabilité CVE-2023-23397 d'Outlook

Recevez votre audit gratuit
CVE-2023-23397
Découvrez la vulnérabilité critique CVE-2023-23397 qui affecte Microsoft Outlook. Comment anticiper et prévenir les attaques sans interaction de l'utilisateur ?

Qu’est-ce que la Microsoft Outlook CVE-2023-23397 ?

La CVE-2023-23397 est une vulnérabilité critique dans le client de messagerie de Microsoft qui permet à un attaquant distant de prendre le contrôle de l’ordinateur de la victime. L’attaque ne nécessite aucune interaction de la part de l’utilisateur, car elle est déclenchée dès que le client de messagerie reçoit un courriel malveillant.

Cette vulnérabilité vous inquiète ?

Contactez-nous dès aujourd'hui.

Contactez nos experts en cybersécurité

Que déclanche une exploitation de la CVE-2023-23397 ?

L’attaque est déclenchée en envoyant un message avec une propriété MAPI étendue contenant un chemin d’accès UNC vers un partage SMB sur un serveur contrôlé par l’attaquant. Lorsque la victime se connecte au serveur distant via SMB, son hachage NTLM est envoyé à l’attaquant qui peut ensuite l’utiliser pour s’authentifier sur d’autres systèmes en tant que victime.

Démonstration vidéo de la CVE-2023-23397

CVE-2023-23397 from MDSec on Vimeo.

Comment éviter d’être impacté par la CVE-2023-23397 ?

Des cas d’exploitation de cette vulnérabilité ont été observés dans la nature. Microsoft a publié des correctifs pour cette vulnérabilité, mais les utilisateurs peuvent également prendre des mesures pour se protéger telles que :

  • Ajouter des utilisateurs au groupe de sécurité des utilisateurs protégés. Cela empêche l’utilisation de NTLM comme mécanisme d’authentification. REMARQUE : cela peut avoir un impact sur les applications qui nécessitent NTLM.
  • Bloquer le trafic TCP 445/SMB sortant de votre réseau en utilisant un pare-feu et via vos paramètres VPN. Cela empêchera l’envoi de messages d’authentification NTLM à des partages de fichiers distants.
  • Si vous utilisez une version 2019 ou ultérieure, les correctifs sont fournis via le CDN de mise à jour “click-and-run”.
  • Pour 2016 et les versions antérieures, les correctifs sont fournis par windows update et sont disponibles sur la page CVE.

Sources :

Reprenez le contrôle de votre parc informatique dès aujourd’hui