Microsoft Outlook Elévation de privilège 

Une vulnérabilité est présente dans Microsoft Office Outlook permettant une élévation de privilèges et autorisant une attaque NTLM Relay contre un autre service pour s’authentifier en tant qu’utilisateur.

Les détails sur la façon d’exploiter la vulnérabilité n’ont pas été divulgués. Cependant, Microsoft a proposé un script pour examiner votre serveur Exchange afin de détecter d’éventuels éléments de courrier exploités.

Une vulnérabilité à haut risque 

Cette vulnérabilité est critique et présente un risque élevé car elle déclenche une authentification NTLM vers une adresse IP, qui est un système en dehors de la zone intranet de confiance ou sites de confiance et cela se produit immédiatement après l’ouverture de l’e-mail.

Pour prévenir l’exploitation de la vulnérabilité NTLM dans Microsoft Outlook, les actions suivantes peuvent être prises par ordre de priorité : 

1. Restreindre le trafic sortant TCP 445/SMB pour bloquer la transmission du trafic NTLM. 

2. Installer les dernières mises à jour de sécurité pour Outlook de Microsoft, ou passer à une version prise en charge si aucune mise à jour de sécurité n’est disponible. 

3. Considérer l’ajout de comptes sur site au groupe de sécurité « Utilisateurs Protégés », qui empêche l’utilisation de NTLM en tant que méthode d’authentification pour les comptes sélectionnés à haute visibilité. Toutefois, cette tactique doit être utilisée avec prudence, car elle peut avoir un impact sur les applications qui dépendent de l’authentification NTLM.

4. Pour détecter et supprimer tout élément potentiellement malveillant, exécuter un script PowerShell développé par Microsoft. Bien que le script puisse être lent à s’exécuter, il examine les éléments de boîte aux lettres individuels à l’aide des services web Exchange (EWS) et peut également traiter les boîtes aux lettres Exchange en ligne pour atténuer le risque d’attaques par des éléments infectés transférés. Notez que cette action n’est pas une solution complète à la vulnérabilité et doit être utilisée en conjonction avec d’autres mesures pour renforcer la sécurité. 

Si vous souhaitez être accompagnés dans la réalisation de cette opération, n’hésitez pas à contacter nos équipes !