Pourquoi Microsoft vient de corriger le correctif qui a écrasé le bogue Outlook Under Attack • The Register
En mars, Microsoft a corrigé une vulnérabilité intéressante dans Outlook que les malfaiteurs exploitaient pour divulguer les informations d’identification Windows des victimes. Cette semaine, le géant informatique a déployé ce correctif dans le cadre de sa mise à jour mensuelle du mardi.
Pour vous rappeler l’erreur d’origine, elle a été suivie comme CVE-2023-23397: Il était possible d’envoyer un e-mail à quelqu’un avec un rappel avec un son de notification personnalisé. Cet audio personnalisé peut être spécifié en tant que chemin d’URL dans l’e-mail.
Si la mauvaise personne a soigneusement conçu le courrier avec ce chemin audio défini sur un serveur SMB distant, alors lorsqu’Outlook récupère le message et le traite, en traçant automatiquement le chemin vers le serveur de fichiers, il transmettra un hachage Net-NTLMv2 à l’utilisateur essayant de connexion. Cela divulguera efficacement le hachage à une partie extérieure, qui pourrait potentiellement utiliser les informations d’identification pour accéder à d’autres ressources comme cet utilisateur, permettant aux pirates d’explorer les systèmes de réseau interne, de voler des documents, de se faire passer pour leur victime, etc.
Le correctif d’il y a deux mois a permis à Outlook d’utiliser la fonctionnalité Windows MapUrlToZone Pour vérifier où la piste sonore de notification pointe vraiment, si elle est en ligne, elle sera ignorée et le son par défaut sera joué. Cela aurait dû empêcher le client de se connecter à un serveur distant et de divulguer des hachages.
Il s’avère que la protection basée sur MapUrlToZone peut être contournée, ce qui a incité Microsoft à sauvegarder un correctif en mars-mai. Le bogue original a été exploité dans la nature, et donc quand son patch a atterri, il a attiré l’attention de tout le monde. Cet intérêt a permis de révéler que la réforme était incomplète.
Et s’il est laissé incomplet, quiconque abuse du bogue d’origine peut utiliser l’autre vulnérabilité pour contourner le correctif d’origine. Pour être clair, ce n’est pas que le correctif CVE-2023-23397 n’a pas fonctionné – il l’a fait – ce n’était pas suffisant pour fermer complètement le trou du fichier audio personnalisé.
Cette vulnérabilité est un autre exemple de vérification des correctifs entraînant de nouvelles vulnérabilités et abus. Il a dit Ben Parnia d’Akamai, qui a repéré et signalé le débordement MapUrlToZone.
Spécifiquement pour cette vulnérabilité, l’ajout d’un seul caractère permet de contourner un correctif critique.
Surtout, alors que le premier bogue concernait Outlook, ce deuxième problème avec MapUrlToZone réside dans l’implémentation par Microsoft de cette fonctionnalité dans l’API Windows. Parnia écrit que cela signifie que le deuxième correctif n’est pas pour Outlook mais pour la plate-forme MSHTML sous-jacente dans Windows, et que toutes les versions du système d’exploitation sont affectées par ce bogue. Le problème est que la route générée de manière malveillante peut être transmise à MapUrlToZone afin que la fonction détermine que la route n’est pas vers l’Internet externe alors qu’elle l’est réellement lorsque l’application vient ouvrir la route.
Selon Barnea, les e-mails peuvent contenir un rappel qui inclut un son de notification personnalisé spécifié comme chemin à l’aide d’une propriété MAPI étendue à l’aide de PidLidReminderFileParameter.
« Un attaquant pourrait spécifier un chemin UNC qui amènerait le client à récupérer le fichier audio de n’importe quel serveur SMB », a-t-il expliqué. Dans le cadre de la connexion au serveur SMB distant, un hachage Net-NTLMv2 est envoyé dans un message de négociation.
Ce problème était suffisamment grave pour obtenir une cote de gravité CVSS de 9,8 sur 10 et avait été exploité par un équipage à destination de la Russie pendant environ un an au moment où le correctif a été publié en mars. Le cybergang l’a utilisé dans des attaques contre des organisations au sein des gouvernements européens ainsi que des espaces de transport, d’énergie et militaires.
Pour trouver un contournement pour le correctif original de Microsoft, Barnea voulait créer un itinéraire que MapUrlToZone étiquetterait comme local, intranet ou zone de confiance – ce qui signifie qu’Outlook pourrait le suivre en toute sécurité – mais une fois passé à la fonction CreateFile pour l’ouvrir, cela rendrait le OS go pour se connecter à un serveur distant.
Finalement, il a découvert que les bâtards pouvaient changer l’URL dans les rappels, ce qui a amené MapUrlToZone à vérifier que les chemins distants étaient considérés comme des chemins locaux. Cela peut être fait avec une seule touche, en ajoutant un deuxième « \ » au chemin UNC (Universal Naming Convention).
« Un attaquant non authentifié sur Internet pourrait utiliser la vulnérabilité pour forcer un client Outlook à se connecter à un serveur contrôlé par l’attaquant », a écrit Parnia. « Cela entraîne le vol des informations d’identification NTLM. Il s’agit d’une vulnérabilité sans clic, ce qui signifie qu’elle peut être déclenchée sans interaction de l’utilisateur. »
Il a ajouté que le problème semble être « le résultat de la gestion complexe des chemins dans Windows. … Nous pensons que ce type de confusion peut entraîner des vulnérabilités dans d’autres programmes qui utilisent MapUrlToZone dans un chemin contrôlé par l’utilisateur, puis utilisent une opération de fichier (telles que CreateFile ou les applications similaires de l’API) sur le même chemin. »
problème, CVE-2023-29324Il a un score de gravité CVSS de 6,5. Microsoft recommande les organisations Bon Cette vulnérabilité – un correctif a été publié dans le cadre du Patch Tuesday cette semaine – ainsi que la précédente CVE-2023-23397.
Parnia a écrit qu’il espère que Microsoft supprimera la fonction de rappel sonore personnalisé, affirmant qu’elle pose plus de risques de sécurité que toute valeur potentielle pour les utilisateurs.
« Il s’agit d’une surface d’attaque d’analyse multimédia sans clic qui pourrait contenir des vulnérabilités critiques de corruption de mémoire », a-t-il écrit. « Compte tenu de l’omniprésence de Windows, détrôner une surface d’attaque aussi mature que celle-ci pourrait avoir des effets très positifs. » ®