Cet audio est généré automatiquement. S’il vous plaît laissez-nous savoir si vous avez des commentaires.
Un correctif publié la semaine dernière pour remédier à une vulnérabilité critique du jour zéro dans Microsoft Outlook ne protège pas complètement les réseaux informatiques contre les attaques, ont déclaré des chercheurs lundi
Dominique Chelldirecteur chez MDSecet Will Dormansenior senior analyst vulnérabilité chez Analygencea déclaré le correctif publié pour corriger CVE-2023-23397 peut toujours être contourné si un attaquant a réussi à accéder à un système.
Les chercheurs de Microsoft et plus tard de Mandiant ont averti que les acteurs de la menace liés à l’État avaient abusé de la vulnérabilité pour lancer des attaques contre des infrastructures critiques dans plusieurs pays européens, après les avertissements préalables des responsables ukrainiens.
Les chercheurs de Mandiant ont mis en garde contre une éventuelle escalade des attaques impliquant d’autres acteurs liés à l’État et des pirates informatiques à motivation financière.
Chell a trouvé la faiblesse dans les mesures d’atténuation et a prévu de contacter Microsoft au sujet des résultats, Dormann dit Cybersecurity Dive.
La mise à jour de Microsoft empêche les sons de rappel spécifiés par l’expéditeur sur les hôtes que Windows considère comme étant sur le réseau local, a déclaré Dormann.
La vulnérabilité pourrait toujours être exploitée si l’attaquant était un initié ou avait accès via un hôte compromis, selon Dormann.
Les attaquants exploitent la vulnérabilité pour envoyer des e-mails malveillants qui n’ont pas à être ouverts par l’utilisateur, selon Huntress. Les assaillants capturent alors Non-NTLMv2 hachagesqui permettent à l’attaquant de s’authentifier dans un environnement Windows et d’élever ses privilèges.
“L’adversaire a besoin d’au moins un point d’appui avec un accès initial”, a déclaré John Hammond, chercheur principal en sécurité chez Huntress. “Cela rend l’exploit moins facile à pointer et à tirer qu’il ne l’était sans le correctif, mais reste un vecteur d’attaque valable pour les équipes rouges, les testeurs de pénétration ou bien sûr les acteurs malveillants qui ont déjà eu accès à l’environnement.”
La mise à jour de sécurité publiée par Microsoft pour CVE-2023-23397 “protège les clients contre la fuite de hachages NTLM en dehors de leur réseau”, a déclaré un porte-parole de Microsoft par e-mail.
Le porte-parole a confirmé que la technique décrite par les chercheurs nécessiterait qu’un attaquant ait déjà obtenu l’accès à un réseau interne.
Les clients doivent donc appliquer le patch pour rester en sécurité, selon le porte-parole.
Microsoft a exhorté les clients à nouveau consulter les instructions pour appliquer les mises à jour de sécurité. La société a également suggéré de revoir les instructions pour atténuer Attaques Pass-the-Hash.