Microsoft a publié ce mois-ci son lot de mises à jour de sécurité mensuelles couvrant 73 vulnérabilités, dont deux failles zero-day exploitées dans la nature. Alors que les organisations doivent donner la priorité à tous les problèmes critiques et à haut risque, il existe une vulnérabilité critique dans Outlook qui, selon les chercheurs, pourrait ouvrir la porte à des attaques triviales entraînant l’exécution de code à distance.
Surnommé LinkerLink Selon les chercheurs de la société de sécurité Check Point Software Technologies qui l’ont découverte, cette vulnérabilité permet aux attaquants de contourner le système. Vue protégée du bureau mode qui ouvre par défaut les fichiers téléchargés sur Internet en mode lecture seule pour empêcher l’exécution de scripts potentiellement malveillants.
Les pièces jointes et les liens des e-mails sont les vecteurs les plus courants de distribution de logiciels malveillants, et ce depuis des années. Des mécanismes tels que l’affichage protégé rendent plus difficile pour les attaquants le déploiement d’exploits pour les vulnérabilités existantes dans Microsoft Word, Excel, PowerPoint et d’autres composants Office.
“Supposons que l’attaquant dispose d’un exploit pour que Microsoft Word fonctionne sans la vue protégée (car c’est le cas le plus courant)”, ont expliqué les chercheurs de Check Point. « Si l’exploit est envoyé en pièce jointe, l’attaquant demande à la victime d’effectuer un double-clic sur la pièce jointe. Cependant, ce n’est pas tout, car une pièce jointe envoyée depuis une adresse e-mail externe activerait la vue protégée sur Word, ce qui bloquerait l’exploit de l’attaquant car l’exploit ne fonctionne pas lorsque la vue protégée est activée.
“Cela signifie que l’attaquant doit tromper la victime pour qu’elle effectue un autre simple clic pour quitter le mode d’affichage protégé par Word, afin que son exploit puisse s’exécuter”, ont déclaré les chercheurs. “Donc, au total, cela représente un double-clic et un simple clic pour toute la chaîne d’attaque.”
Avec MonikerLink, suivi comme CVE-2024-21413 par Microsoft, une telle chaîne d’exploitation nécessiterait un simple clic de la part de l’utilisateur, car la vulnérabilité existe dans la manière dont Outlook appelle des applications externes lorsque les utilisateurs cliquent sur un lien dans un message électronique. En outre, la faille pourrait servir de moyen pour fournir des exploits en un clic à d’autres applications que Word.
Le comportement d’Outlook est différent selon les types de liens. Par exemple, pour les liens commençant par http:// ou le client de messagerie enverra le lien au navigateur par défaut installé sur le système d’exploitation. Cependant, si un e-mail inclut des liens vers d’autres gestionnaires de protocole, par exemple skype :, le client de messagerie affichera un avertissement indiquant que le lien pourrait être dangereux avant d’autoriser l’utilisateur à continuer et à transmettre la demande à l’application Skype installée localement, qui est l’application Skype. gestionnaire de protocole enregistré pour Skype : liens.
Un autre protocole de lien courant est file:// qui appelle normalement une application externe pour restituer le fichier en fonction de son format. Cependant, Microsoft a intentionnellement mis en place une restriction pour ne pas autoriser l’ouverture de liens de fichiers distants, par exemple des fichiers hébergés sur un partage réseau distant potentiellement via Internet.
Cependant, les chercheurs de Check Point ont découvert que cette restriction pouvait être contournée en ajoutant le caractère « ! » suivi d’une chaîne aléatoire à la fin de l’URL. Par exemple, file:///\10.10.111.111testtest.rtf ne fonctionnerait pas, mais file:///\10.10.111.111testtest.rtf!quelque chose fonctionnerait et le fichier serait transmis à Microsoft Word, qui est le gestionnaire enregistré pour l’extension de fichier .rtf.
La raison pour laquelle cela fonctionne est que la partie !something oblige Outlook à traiter le lien comme un lien de moniker dans le contexte du modèle d’objet de composant (« COM ») sous Windows où la partie après ! est utilisé pour rechercher un objet COM. Le Component Object Model est une interface binaire à travers laquelle différents composants logiciels peuvent communiquer entre eux. Datant de 1993, il a servi de base à différentes technologies telles qu’ActiveX ou Microsoft Object Linking & Embedding (OLE).
Essentiellement, Outlook supprime le gestionnaire de protocole file:// et analyse le lien à l’aide de l’API « ole32!MkParseDisplayName() ». Celui-ci le traite à son tour comme un surnom composé : un FileMoniker étant \10.10.111.111testtest.rtf et un ItemMoniker étant « quelque chose ».
Étant donné que FileMoniker a l’extension .rtf, l’API appellera un serveur COM qui gère cette extension, qui se trouve être Microsoft Word, qui s’exécute comme un serveur COM en arrière-plan sans l’interface graphique. Lors de la réception de la demande, Word ouvre le fichier distant, puis essaie de rechercher un objet COM pour le « quelque chose » ItemMoniker.
Peu importe qu’un objet COM portant ce nom n’existe pas, car à ce stade, Word a déjà accédé au fichier distant dans un premier temps. Il s’avère que cela a été fait sans le mode d’affichage protégé habituel qui s’applique aux fichiers téléchargés sur Internet lorsqu’un utilisateur tente de les ouvrir manuellement.
Contourner la protection n’est pas le seul risque lié à la faille Outlook
Cela a deux implications majeures : premièrement, la demande d’emplacement de fichier distant est effectuée via SMB, ce qui entraîne une fuite des informations d’identification NTLM vers le serveur contrôlé par l’attaquant, ce qui constitue un risque de sécurité en soi. Deuxièmement, si le fichier .rtf contient un exploit pour une vulnérabilité Word non corrigée, les attaquants ont simplement contourné l’un des principaux obstacles qu’ils devraient normalement rencontrer pour exécuter cet exploit : convaincre les utilisateurs de remplacer manuellement la vue protégée sur le fichier.
En outre, les chercheurs ont démontré leur attaque de preuve de concept en utilisant l’extension de fichier .rtf pour atteindre Word, mais l’attaque pourrait également fonctionner avec d’autres extensions de fichier afin de fournir des exploits à d’autres applications tierces qui s’enregistrent en tant que serveurs COM et gestionnaires pour des types de fichiers spécifiques.
2024-02-16 23:52:53
1708117487
#Une #faille #dans #Microsoft #Outlook #ouvre #porte #des #attaques #par #exécution #code #distance #clic