Gestion du document
Origine: bjCSIRT
Numéro: 2018/AVIS/004
Date de l’alerte: 12/04/2018
TLP: White
Aperçu de la menace
La vulnérabilité existe dans la manière dont Microsoft Outlook interprète du contenu OLE (Object Linking and Embedding) hébergé à distance quand un message électronique au format RTF (Rich Text Format) est prévisualisé, déclenchant automatiquement des connexions SMB.
Un attaquant peut donc envoyer un email RTF contenant une image (objet OLE) hébergée à distance, qui charge un serveur SMB contrôlé par l’attaquant. Puisque Microsoft Outlook interprète automatiquement le contenu OLE des messages RTF et le renvoie à l’utilisateur, cela va initier des connections vers le serveur SMB de l’attaquant. Lors de l’initiation de cette connexion en quatre phases, les informations comme le nom d’utilisateur, le nom de domaine, le nom de la machine, la clé de session et le hash du mot de passe NTLM de l’utilisateur sont envoyées au serveur de l’attaquant.
Microsoft a sorti une mise à jour qui règle partiellement le problème en bloquant le rendu automatique des objets OLE dans les messages RTF. Mais cela n’empêche que si un utilisateur clique un lien direct vers le serveur SMB de l’attaquant, ses informations soit divulguées.
Mesures à prendre
Nous vous invitons à prendre les mesures suivantes :
- Appliquez la mise à jour pour le CVE-2018-0950 si ce n’est pas encore fait.
- Bloquez les ports 445/tcp, 137/tcp, 139/tcp, ainsi que 137/udp et139/udp utilisés pour les connexions entrantes SMB et netbios.
- Bloquez l’authentification NTLM et Single Sign On.
- Utilisez des mots de passe complexes.
- Ne cliquez pas sur des liens contenus dans les mails..
Liens utiles
