Microsoft a révélé une vulnérabilité de haute gravité affectant Office 2016 qui pourrait exposer les hachages NTLM à un attaquant à distance.
Piste sous le nom de CVE-2024-38200, cette faille de sécurité est causée par une faiblesse de divulgation d'informations qui permet aux acteurs non autorisés d'accéder à des informations protégées.
Il a un impact sur plusieurs versions Office 32 bits et 64 bits, y compris Office 2016, Office 2019, Office LTSC 2021 et Microsoft 365 Apps for Enterprise.
Même si l'évaluation de l'exploitabilité de Microsoft indique que l'exploitation du CVE-2024-38200 est moins probable, MITRE a marqué la probabilité d'exploitation pour ce type de faiblesse comme hautement probable.
«Dans un scénario d'attaque basé sur le web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge un contenu fourni par l'utilisateur) qui contient un fichier spécialement conçu pour exploiter la vulnérabilité», explique l'avis de Microosoft.
"Cependant, un attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter le site web.
Au lieu de cela, un attaquant devrait convaincre l'utilisateur de cliquer sur un lien, généralement par le biais d'une incitation dans un e-mail ou un message Instant Messenger, puis convaincre l'utilisateur d'ouvrir le fichier spécialement conçu."
La société développe des mises à jour de sécurité pour remédier à ce bogue, mais n'a pas encore annoncé de date de sortie.
Depuis la publication de cet article, Microsoft a communiqué des informations supplémentaires sur la faille CVE-2024-38200 dans le conseil, déclarant qu'ils ont publié une solution par le biais de la Fillighting le 7/30/2024.
"Non, nous avons identifié une solution alternative à cette question que nous avons permis via le vol de longs métrages le 7/30/2024", peut-on lire dans le conseil CVE-2024-38200 mis à jour.
"Les clients sont déjà protégés sur toutes les versions d'appui de Microsoft Office et de Microsoft 365.
Les clients devraient toujours se mettre à jour aux mises à jour du 13 août 2024 pour la version finale du correctif."
L'avis indique en outre que cette faille peut être atténuée en bloquant le trafic NTLM sortant vers les serveurs distants.
Microsoft dit que vous pouvez bloquer le trafic NTLM sortant en utilisant les trois méthodes suivantes:
- Configuration de la sécurité du réseau: Restriction du trafic NTLM: Le trafic NTLM sortant vers la politique de groupe pour permettre, bloquer ou auditer le trafic NTLM sortant d'un ordinateur exécutant Windows 7, Windows Server 2008, ou plus tard à tout serveur distant exécutant le système d'exploitation Windows. Dans ce cas, vous voudriez utiliser la politique pour bloquer le trafic NTLM.
- Ajout d'utilisateurs au groupe de sécurité des utilisateurs protégés, qui limite l'utilisation du NTLM comme mécanisme d'authentification
- Blocage de tout le trafic sortant vers le port de TCP 445.
Microsoft note en utilisant l'une de ces mesures d'atténuation pourrait empêcher l'accès légitime aux serveurs distants qui reposent sur l'authentification NTLM.
Bien que Microsoft n'ait pas partagé d'autres détails sur la vulnérabilité, ces orientations indiquent que le défaut peut être utilisé pour forcer une connexion NTLM sortante, par exemple à une part de SMB sur le serveur d'un attaquant.
Lorsque cela se produit, Windows envoie les hayons NTLM de l'utilisateur, y compris leur mot de passe haché, que l'attaquant peut alors voler.
Comme cela a été démontré à maintes reprises dans le passé, ces hachages peuvent être craqués, ce qui permet aux acteurs des menaces d'accéder aux noms de connexion et aux mots de passe en clair.
Les hachages NTLM peuvent également être utilisés dans les attaques NTLM Relay Attacks, comme on le voit précédemment avec les attaques ShadowCoerce, DFSCoerce, PetitPotam et RemotePotato0, pour accéder à d'autres ressources sur un réseau.
Plus de détails à partager sur Defcon
Microsoft a attribué la découverte des défauts au consultant en sécurité de PrivSec Consulting Jim Rush et Metin Yunus Kandemir, membre de l'équipe rouge de Synack.
Le directeur général de PrivSec, Peter Jakowetz, a déclaré à BleepingComputer que Rush divulgue plus d'informations sur cette vulnérabilité dans son prochain discours "NTLM - The last ride" Defcon.
«Il y aura une plongée profonde sur plusieurs nouveaux bugs que nous avons divulgués à Microsoft (y compris en contournant une solution à un CVE existant), des techniques intéressantes et utiles, combinant des techniques de plusieurs classes de bogues résultant de quelques découvertes inattendues et de certains bugs absolument cuits», explique Rush.
"Nous allons également découvrir certains défauts qui ne devraient tout simplement pas exister dans les bibliothèques ou applications sensées ainsi que dans certains lacunes flagrantes dans certains des contrôles de sécurité liés à Microsoft NTLM."
Microsoft travaille également sur le règlement des défauts de zéro jour qui pourraient être exploités pour «rédier» les systèmes Windows à jour et réintroduire les vulnérabilités anciennes.
La société a également déclaré plus tôt cette semaine qu'elle envisageait de corriger un contrôle d'application intelligent de Windows, SmartScreen bypass exploité depuis 2018.





Reply With Quote