Vulnérabilité dans Microsoft Outlook

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2018/AVIS/004

Date de l’alerte: 12/04/2018

TLP: White

Aperçu de la menace

La vulnérabilité existe dans la manière dont Microsoft Outlook interprète du contenu OLE (Object Linking and Embedding) hébergé à distance quand un message électronique au format RTF (Rich Text Format) est prévisualisé, déclenchant automatiquement des connexions SMB.

Un attaquant peut donc envoyer un email RTF contenant une image (objet OLE) hébergée à distance, qui charge un serveur SMB contrôlé par l’attaquant. Puisque Microsoft Outlook interprète automatiquement le contenu OLE des messages RTF et le renvoie à l’utilisateur, cela va initier des connections vers le serveur SMB de l’attaquant. Lors de l’initiation de cette connexion en quatre phases, les informations comme le nom d’utilisateur, le nom de domaine, le nom de la machine, la clé de session et le hash du mot de passe NTLM de l’utilisateur sont envoyées au serveur de l’attaquant.

Microsoft a sorti une mise à jour qui règle partiellement le problème en bloquant le rendu automatique des objets OLE dans les messages RTF. Mais cela n’empêche que si un utilisateur clique un lien direct vers le serveur SMB de l’attaquant, ses informations soit divulguées.

Mesures à prendre

Nous vous invitons à prendre les mesures suivantes :

  • Appliquez la mise à jour pour le CVE-2018-0950 si ce n’est pas encore fait.
  • Bloquez les ports 445/tcp, 137/tcp, 139/tcp, ainsi que 137/udp et139/udp utilisés pour les connexions entrantes SMB et netbios.
  • Bloquez l’authentification NTLM et Single Sign On.
  • Utilisez des mots de passe complexes.
  • Ne cliquez pas sur des liens contenus dans les mails..

Liens utiles

https://thehackernews.com/2018/04/outlook-smb-vulnerability.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

Partagez sur vos réseaux.