Ouvrir un simple mail peut permettre de vous voler des informations sensibles.
Un chercheur en sécurité a divulgué les détails d’une vulnérabilité importante dans Microsoft Outlook pour laquelle l’entreprise a publié un correctif incomplet ce mois-ci – presque 18 mois après avoir reçu le rapport de divulgation responsable.
La vulnérabilité de Microsoft Outlook (CVE-2018-0950) pourrait permettre aux attaquants de voler des informations sensibles, y compris les identifiants de connexion Windows des utilisateurs, simplement en convainquant les victimes de prévisualiser un e-mail avec Microsoft Outlook, sans nécessiter d’interaction supplémentaire de la part de l’utilisateur.
Comment est-ce possible?
La faille réside dans la manière dont Microsoft Outlook rend le contenu OLE hébergé à distance lorsqu’un message au format RTF (Rich Text Format) est ouvert. La boîte mail effectue alors une identification avec le serveur distant fournissant des données potentiellement exploitables. L’adresse IP, le nom de domaine, le nom d’utilisateur, , le nom d’hôte et le mot de passe hashé de l’utilisateur peuvent être divulgués. Si le mot de passe de l’utilisateur n’est pas assez complexe, le hashage peut ne pas être une sécurité suffisante et celui-ci pourrait être cracké rapidement.
Will Dormann a signalé la vulnérabilité à Microsoft en novembre 2016. L’entreprise a publié une correction incomplète dans sa mise à jour du mardi d’avril 2018, soit près de 18 mois après le rapport.
Le correctif empêche Outlook d’initier automatiquement les connexions SMB lorsqu’il prévisualise les emails RTF, mais le chercheur a noté que le correctif n’empêche pas les attaques pour autant.
« Il est important de se rendre compte que même avec ce correctif, un utilisateur est toujours à un seul clic de tomber victime des types d’attaques décrites ci-dessus », a déclaré M. Dormann. « Par exemple, si un message électronique a un lien de type UNC qui commence par « \\\\ », cliquer sur le lien initie une connexion vers le serveur spécifié.
Se protéger
Si vous avez déjà installé la dernière mise à jour du patch Microsoft, c’est un début. Mais voici quelques pas supplémentaires pour se protéger complètement d’une potentielle attaque.
- Appliquez la mise à jour Microsoft pour CVE-2018-0950, si vous ne l’avez pas encore fait
- Bloquer les ports spécifiques (445/tcp, 137/tcp, 139/tcp, 139/tcp, ainsi que 137/udp et 139/udp) utilisés pour les sessions SMB entrantes et sortantes.
- Bloquer NT LAN Manager (NTLM) Single Sign-on (SSO) authentification (le type d’authentification utilisé).
- Utilisez toujours des mots de passe complexes, qui ne peuvent pas être crackés facilement même hashés.
- Enfin, ne cliquez pas sur les liens suspects (on ne sait jamais)
