Microsoft a publié son lot de mises à jour de sécurité mensuelles lors du Patch Tuesday de ce mois-ci, couvrant 73 vulnérabilités, dont deux failles zero-day exploitées par des acteurs malveillants. Alors que les organisations doivent donner la priorité à tous les problèmes critiques et à haut risque, il existe une vulnérabilité critique dans Outlook qui, selon les chercheurs en sécurité, pourrait ouvrir la porte à des attaques triviales entraînant l’exécution de code à distance (RCE).
Surnommée MonikerLink par les chercheurs de la société de sécurité Check Point Software qui l’ont découverte, la vulnérabilité permet aux attaquants de contourner le mode Office Protected View, qui ouvre par défaut les fichiers téléchargés sur Internet en mode lecture seule pour empêcher l’exécution de scripts internes potentiellement malveillants.
“Supposons que l’attaquant dispose d’un exploit permettant à Microsoft Word de fonctionner sans mode protégé (car c’est le cas le plus courant)”, ont expliqué les chercheurs de Check Point. « Si l’exploit est envoyé sous forme de pièce jointe, l’attaquant demande à la victime de double-cliquer sur la pièce jointe. Cependant, ce n’est pas le total car une pièce jointe envoyée à partir d’une adresse e-mail externe activerait le mode protégé dans Word et bloquerait l’exploit de l’attaquant, car l’exploit ne fonctionne pas lorsque le mode protégé est activé.
“Cela signifie que l’attaquant doit inciter la victime à effectuer un autre simple clic pour quitter le mode d’affichage protégé par Word afin que son exploit puisse être réalisé”, ont expliqué les chercheurs. “Donc au total, c’est un double-clic et un simple-clic pour toute la chaîne d’attaque.”
Les pièces jointes et les liens des e-mails sont les vecteurs les plus courants de distribution de logiciels malveillants. Des mécanismes tels que l’affichage protégé rendent plus difficile pour les attaquants le déploiement d’exploits pour les vulnérabilités existantes dans Microsoft Word, Excel, PowerPoint et d’autres composants Office. Par conséquent, selon les chercheurs, MonikerLink présente un risque de sécurité plus large associé à l’utilisation d’API non sécurisées, telles que MkParseDisplayName/MkParseDisplayNameEx, affectant potentiellement non seulement Outlook, mais également d’autres logiciels qui utilisent ces API de manière non sécurisée.
Regarde ça
Des pirates militaires russes attaquent l’OTAN en utilisant des bugs dans Outlook
Le piratage M365 a exposé plus que les e-mails Exchange et Outlook
La découverte de ce bug dans Outlook sert d’appel à l’action pour les communautés de sécurité et de développeurs pour identifier et corriger des vulnérabilités similaires dans d’autres applications, garantissant ainsi la sécurité de l’écosystème Windows/COM.
Avec MonikerLink, suivi comme CVE-2024-21413 par Microsoft, une telle chaîne d’exploitation nécessiterait un seul clic de l’utilisateur, car la vulnérabilité existe dans la manière dont Outlook « appelle » des applications externes lorsque les utilisateurs cliquent sur un lien dans un message électronique. . De plus, la faille pourrait servir de moyen pour fournir des exploits en un clic pour des applications autres que Word.
Pour plus de détails sur les risques du bug MonikerLink résolu par les chercheurs de Check Point Software, cliquez sur ici. Le Microsoft Security Response Center corrige également les vulnérabilités. Pour y accéder, cliquez sur ici.