Vulnérabilité critique RCE de Microsoft Outlook exploitée activement dans des attaques

La société de cybersécurité Check Point a découvert une vulnérabilité critique d’exécution de code à distance (RCE) dans Microsoft Outlook, qui est actuellement exploitée dans des cyberattaques actives, posant une menace significative pour les organisations du monde entier.

Cela a poussé l’Agence de cybersécurité et de sécurité des infrastructures (CISA) à avertir les agences fédérales américaines de sécuriser leurs systèmes contre de telles attaques en cours.

Le chercheur en vulnérabilités de Check Point, Haifei Li, a découvert la vulnérabilité RCE de haute sévérité suivie sous le nom de CVE-2024–21413 (score CVSS 9.8).

Ce défaut résulte d’une validation d’entrée incorrecte, qui peut déclencher l’exécution de code lors de l’ouverture d’emails contenant des liens malveillants en utilisant une version vulnérable de Microsoft Outlook.

Une exploitation réussie de cette vulnérabilité permettrait à un acteur malveillant de contourner la vue protégée d’Office et d’ouvrir des fichiers malveillants en mode édition plutôt qu’en mode protégé.

Cela pourrait également accorder à l’acteur malveillant des privilèges élevés, y compris la capacité de lire, écrire et supprimer des données.

Microsoft a abordé la vulnérabilité CVE-2024–21413 il y a un an, en avertissant que le volet de prévisualisation pourrait lui-même être un vecteur d’attaque.

En conséquence, il pourrait suffire de visualiser un email malveillant dans Outlook pour déclencher l’exploit, le rendant exceptionnellement dangereux.

Selon Check Point, les attaquants exploitent la vulnérabilité surnommée Moniker Link, une méthode qui trompe Outlook pour ouvrir des fichiers non sécurisés.

Cela permet aux acteurs malveillants de contourner les protections intégrées d’Outlook pour les liens malveillants intégrés dans les emails utilisant le protocole file://.

Les attaquants peuvent manipuler Outlook pour traiter des fichiers malveillants comme des ressources de confiance en ajoutant un point d’exclamation suivi de texte arbitraire à une URL de fichier.

En insérant ce point d’exclamation immédiatement après l’extension de fichier dans les URL pointant vers des serveurs contrôlés par l’attaquant, ainsi que du texte aléatoire, ils peuvent tromper le système et exécuter des charges utiles malveillantes.

Par exemple, un attaquant pourrait créer un lien comme indiqué ci-dessous :

CLIQUEZ ICI

Lorsque la victime clique sur le lien, Outlook récupère le fichier depuis le serveur de l’attaquant et l’exécute avec des privilèges élevés, accordant à l’attaquant le contrôle du système.

La vulnérabilité CVE-2024-21413 a affecté plusieurs produits Microsoft Office, y compris Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 et Microsoft Office 2019.

En réponse à l’exploitation active de cette vulnérabilité, la CISA a ajouté CVE-2024-21413 à son catalogue des vulnérabilités connues exploitées (KEV).

Selon la directive opérationnelle contraignante (BOD) 22-01 de novembre 2021, les agences fédérales ont jusqu’au 27 février 2025 pour corriger leurs systèmes et protéger leurs réseaux contre les menaces potentielles.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les acteurs malveillants et posent des risques significatifs pour l’entreprise fédérale », a averti l’agence de cybersécurité jeudi.

Avec l’exploitation active dans la nature, la CVE-2024-21413 représente un risque de sécurité grave pour les utilisateurs d’Outlook.

Par conséquent, il est conseillé aux organisations privées d’appliquer immédiatement des correctifs et de renforcer les défenses de cybersécurité pour prévenir d’éventuelles violations.