Contactez nous +(689) 40 45 52 00 contact@terama.pf
Nous suivre

Vulnérabilité Outlook récupérant le condensat du mot de passe

CVE-2023-23397

La vulnérabilité 

Le bulletin de sécurité de Microsoft du mardi 14 mars 2023 contient de nombreuses vulnérabilités dont une vulnérabilité touchant Outlook et permettant de récupérer les condensats NetNTLMv2. Un attaquant peut ensuite casser le condensat du mot de passe d’un l’utilisateur pour avoir un premier accès à votre SI.

Cette vulnérabilité provient d’un problème dans les calendriers Outlook. Il est possible à un attaquant de spécifier un évènement de calendrier qui, lors du déclenchant du rappel, appellera un fichier censé être local mais dont le chemin peut être modifié. En précisant une URL, Windows essaiera automatiquement de s’authentifier en envoyant le condensat NetNTLMv2 du mot de passe de l’utilisateur.

Quels sont les versions Outlook vulnérables

Toutes les versions Outlook sont affectés sauf les versions Android, iOS, Mac et la version web M365. 

Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance d'une première preuve de concept publique (non encore qualifiée).  Il faut donc agir.

Que faire : 


Pour détecter :

  • Microsoft fourni un script (signé) à exécuter sur votre serveur Exchange pour détecter la présence de mails contenant l’exploitation de la vulnérabilité : https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md.

  • Pour ceux qui sont équipé d’un SIEM ou d’un SOC, une règle Yara pour détecter l’exploitation de la vulnérabilité : https://github.com/delivr-to/detections/blob/main/yara-rules/msg_cve_2023_23397.yar

Pour corriger :

  • Veiller à ce que vos firewalls bloquent en sortir SMB (TCP/UDP 445) ainsi que les sorties directes vers WebDAV (TCP 80 et 443) hors proxy

  • Forcer la mise à jour de la suite Office sur votre parc 

En exécutant la commande suivante : 

C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe" /update user

Ou via intune en poussant un script powershell :

https://gist.github.com/nicolonsky/b04dd77129577f782178c0c049344101

  • Assurez-vous également que votre éditeur d'AV ou EDR supporte bien la détection des nouvelles exploitations de la vulnérabilité et veillez à ce que cet outil soit bien à jour partout

Bon courage ;-)


Vulnérabilité dans Microsoft Word avec code d'exploitation public
CVE-2023-21716