Alerte de sécurité Microsoft Office CVE-2024-21413 : la réponse des produits Stormshield

Publié le : 28 02 2024 | Modifié le : 29 02 2024

Auteur : Stormshield Customer Security Lab

2 minutes

Une vulnérabilité critique impactant Microsoft Office, identifiée par la référence CVE-2024-21413, a été publiée le 13 février par Microsoft. Elle obtient un score CVSS v3.1 de 9.8. Il convient de porter une attention particulière à celle-ci car de nombreuses preuves de concept sont disponibles publiquement, offrant un fort potentiel d’exploitation par des acteurs malveillants. L’équipe Stormshield Customer Security Lab détaille les protections fournies par Stormshield.

La CVE-2024-21413 impacte les produits suivants :

  • Microsoft Office 2016
  • Microsoft Office 2019
  • Microsoft Office 2021
  • Microsoft 365 Apps

La version OWA (Outlook Web Application) n’est quant à elle pas impactée.

 

Le contexte de la vulnérabilité Microsoft Office

La vulnérabilité CVE-2024-21413 permet à un cyber-attaquant :

  • de déclencher l’exécution de code arbitraire via l’ouverture indirecte d’un document Office en mode non-protégé ;
  • de divulguer des informations sensibles sur l’identité de l’utilisateur (condensat NTLM).

Dans le premier cas, une charge malveillante pourrait être exécutée dans le contexte du processus Office attaqué.

Dans le second cas, ce condensat pourrait être réutilisé dans une attaque de type Pass-The-Hash pour usurper l’identité de l’utilisateur.

 

Les détails techniques de la vulnérabilité Microsoft Office

La cause de cette vulnérabilité vient de l’interprétation de certains liens hypertexte par la suite Office, notamment les liens utilisant la technique des Monikers COM.

Si ce lien est de type SMB – sous la forme \\<IP_Malveillante>\file –, alors le programme de la suite Office va automatiquement tenter une authentification à ce serveur distant en envoyant le condensat NTLM de l’utilisateur. Si le serveur SMB malveillant transmet un fichier comme un RTF, alors un programme tel que Microsoft Word pourrait le charger et l’ouvrir.

 

La modélisation de l'attaque avec MITRE ATT&CK

  • Kill chain: Delivery

Les techniques MITRE ATT&CK :

  • T1566.002 - Phishing: Spearphishing Link
  • T1559.001 - Inter-Process Communication
  • T1204.001 - User Execution: Malicious Link

 

Les moyens de protections Stormshield face à la vulnérabilité Microsoft Office

Protection avec Stormshield Network Security

Les firewalls Stormshield Network Security (SNS) détectent et bloquent par défaut l’exploitation de la CVE-2024-21413 via leur analyse protocolaire :

  • smtp:client.15 eMail : Lien Moniker malveillant dans Microsoft Outlook (CVE-2024-21413)

Afin que cette protection soit efficace, il est nécessaire que le flux soit déchiffré.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Recommandations face à la vulnérabilité Microsoft Office

À la rédaction de cette alerte de sécurité, un patch de la suite Office est d’ores et déjà disponible. Il est ainsi fortement recommandé de mettre à jour le produit via Windows Update.

Le détail du patch est disponible sur le site de Microsoft.

Tags :

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».
L’équipe de Cyber Threat Intelligence de Stormshield remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Stormshield Customer Security Lab
Derniers articles

Voir tous les articles de Alertes

En savoir plus