Microsoft a partagé vendredi des conseils pour aider les clients à découvrir des indicateurs de compromission associés à une vulnérabilité d’Outlook récemment corrigée.
Répertoriée sous le nom de CVE-2023-23397, la faille critique concerne un cas d’élévation de privilèges qui pourrait être exploité pour voler les hachages de NT Lan Manager et organiser une attaque par relais sans nécessiter d’interaction de la part de l’utilisateur.
La vulnérabilité a été résolue par Microsoft dans le cadre de ses mises à jour Patch Tuesday pour mars 2023, mais pas avant que des acteurs de la menace basés en Russie n’utilisent cette faille dans des attaques visant les secteurs du gouvernement, des transports, de l’énergie et de l’armée en Europe.
« L’exploitation des hachages NTLMv2 pour obtenir un accès non autorisé à des ressources n’est pas une technique nouvelle, mais l’exploitation de CVE-2023-23397 est inédite et furtive », a déclaré Microsoft.
Cette révélation intervient alors que l’agence américaine de cybersécurité et de sécurité des infrastructures (U.S. Cybersecurity and Infrastructure Security Agency) a publié un nouvel outil open source de réponse aux incidents qui permet de détecter les signes d’activités malveillantes dans les environnements « cloud » de Microsoft.
Baptisé Untitled Goose Tool, l’utilitaire basé sur Python propose « des méthodes inédites d’authentification et de collecte de données » pour analyser les environnements Microsoft Azure, Azure Active Directory et Microsoft 365, a indiqué l’agence.