Vue d’ensemble :
Criticité : Elevée
Score CVSS 3.1 : 9.8
Dommage : Divulgation d’information
Plateforme : Windows
Exploitation : avec un email spécifiquement conçu
Code d’exploitation : https://github.com/api0cradle/CVE-2023-23397-POC-Powershell
Description :
Un code d’exploitation tirant parti de la vulnérabilité CVE-2023-23397 a été publié.
La vulnérabilité en question affecte Microsoft Outlook pour Windows. L’exploitation de cette faille permet de récupérer le condensat Net-NTLMv2 de la victime lors de la récupération de l’email par le client de messagerie de la victime.
Ce code d’exploitation se présente sous la forme d’un programme écrit en Powershell. En envoyant un email contenant une invitation spécifiquement conçue, celle-ci va forcer le client Outlook de la victime à venir s’authentifier sur un serveur contrôlé par l’attaquant afin de récupérer le fichier audio utilisé par Outlook lorsque la fonction de rappelle d’un évènement est déclenché. En spécifiant un chemin de ressource UNC pour ce fichier audio, l’attaquant est capable de mener une attaque de type ntml-relay (relais NTLM) et de récupérer le condensat Net-NTLMv2 de la victime.
Cette vulnérabilité est activement exploitée.
Versions vulnérables
- Microsoft Office 2013 RT SP1
- Microsoft Office 2013 SP1 32 bits
- Microsoft Office 2013 SP1 64 bits
- Microsoft Office 2016 (32 bits edition)
- Microsoft Office 2016 (64 bits edition)
- Microsoft Office 2019 for 32 bits editions
- Microsoft Office 2019 for 64 bits editions
- Microsoft Office LTSC 2021 for 32 bits editions
- Microsoft Office LTSC 2021 for 64 bits editions
- Microsoft Outlook 2013 RT SP1
- Microsoft Outlook 2013 SP1 32 bits
- Microsoft Outlook 2013 SP1 64 bits
- Microsoft Outlook 2016 (32 bits edition)
- Microsoft Outlook 2016 (64 bits edition)
Recommandations :
Le CERT-XMCO recommande l’application des correctifs disponibles via le mécanisme de mise à jour automatique ou à l’aide des liens indiqués au bas du bulletin Microsoft.