Le mois dernier, Microsoft a dû faire face à trois zeroo-day, c’est-à-dire des failles de sécurité que les cybercriminels ont découvertes en premier et dont ils ont su tirer parti dans des attaques réelles avant que des correctifs ne soient disponibles.
Curieusement, pour un bogue qui a été découvert dans la nature, bien que Microsoft l’ait signalé de manière plutôt fade en disant «Exploitation détectée», la faille d’Outlook est attribuée conjointement au CERT-UA, à Microsoft Incident Response et à Microsoft Threat Intelligence.
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait accéder au hachage Net-NTLMv2 d’un utilisateur, qui pourrait être utilisé comme base d’une attaque NTLM Relay contre un autre service pour s’authentifier en tant qu’utilisateur.
Des attaquants externes pourraient envoyer des courriels spécialement conçus qui provoqueraient une connexion de la victime à un emplacement UNC externe contrôlé par les attaquants.
Comme le prévient Microsoft, un pirate qui parvient à faire les choses au bon moment pourrait être en mesure de s’authentifier en votre nom auprès d’un serveur authentique, sans connaître votre mot de passe ou son hachage, juste pour obtenir un défi de départ de 8 octets de la part du serveur réel.
En bref, vous voulez absolument vous protéger contre cette attaque, car même si elle nécessite de nombreux essais, du temps et de la chance, et qu’elle n’a pas beaucoup de chances de fonctionner, nous savons déjà qu’il s’agit d’un cas d'»exploitation détectée».