{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Office LTSC 2021","product":{"name":"Office","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Office 2019","product":{"name":"Office","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Office 2016","product":{"name":"Office","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft 365 Apps","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":"<p>La vuln\u00e9rabilit\u00e9 affecte en particulier Microsoft Outlook qui est inclus dans la suite Microsoft Office. L'interface <span class=\"mx_EventTile_body\" dir=\"auto\">OWA (Outlook Web Application), version web de la messagerie Outlook, n\u2019est pas affect\u00e9e par cette vuln\u00e9rabilit\u00e9 selon l\u2019\u00e9diteur. </span></p> ","closed_at":"2024-04-15","content":"## Solution\n\n<span style=\"color: red;\">**\\[Mise \u00e0 jour du 15 mars 2024\\] Ajout de\npr\u00e9cision concernant les d\u00e9fi-r\u00e9ponses NTLM**</span>\n\n**\\[Mise \u00e0 jour du 22 f\u00e9vrier 2024\\] Ajout de\nrecommandations.**\n\nAfin de pr\u00e9venir l'exploitation \u00e0 distance de cette vuln\u00e9rabilit\u00e9, le\nCERT-FR recommande:\n\n-   D\u2019appliquer la mise \u00e0 jour fournie par Microsoft dans les meilleurs\n    d\u00e9lais. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\n    l'obtention des correctifs (cf. section Documentation).\n-   De limiter l'utilisation de NTLMv2 et d'activer les mesures de\n    protection contre les attaques relais pr\u00e9conis\u00e9es par l'\u00e9diteur\n    \\[2\\] ainsi que les recommandations (R71 \u00e0 R77) relatives \u00e0\n    l'administration s\u00e9curis\u00e9e des syst\u00e8mes d'information reposant sur\n    microsoft active directory \\[3\\]\n-   D'interdire les flux SMB <span\n    style=\"text-decoration: underline;\">en sortie du syst\u00e8me\n    d'information</span> (TCP/445). Cette r\u00e8gle s'impose \u00e9galement aux\n    postes nomades, dont les flux doivent \u00eatre s\u00e9curis\u00e9s.\n-   De d\u00e9tecter des liens malveillants dans les courriels re\u00e7us, par\n    exemple en utilisant une expression r\u00e9guli\u00e8re (voir la r\u00e8gle Yara\n    \\[1\\]). Le CERT-FR n'est pas en mesure de garantir les r\u00e9sultats\n    obtenus par cette r\u00e8gle de d\u00e9tection, qui devront donc \u00eatre\n    qualifi\u00e9s.\n\n**\\[Publication initiale\\]**\n\nLe CERT-FR recommande fortement d\u2019appliquer la mise \u00e0 jour fournie par\nMicrosoft. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\nl'obtention des correctifs (cf. section Documentation).\n","cves":[{"name":"CVE-2024-21413","url":"https://www.cve.org/CVERecord?id=CVE-2024-21413"}],"links":[{"title":"[1] R\u00e8gle Yara de d\u00e9tection de la vuln\u00e9rabilit\u00e9 CVE-2024-21413 propos\u00e9e par X__Junior et Florian Roth","url":"https://github.com/Neo23x0/signature-base/blob/master/yara/expl_outlook_cve_2024_21413.yar"},{"title":"Avis CERTFR-2024-AVI-0127 du 14 f\u00e9vrier 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0127/"},{"title":"[2] Base de connaissance Microsoft","url":"https://support.microsoft.com/fr-fr/topic/kb5005413-att%C3%A9nuation-des-attaques-de-relais-ntlm-sur-les-services-de-certificats-active-directory-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429"},{"title":"[3] Recommandations relatives \u00e0 l'administration s\u00e9curis\u00e9e des syst\u00e8mes d'information reposant sur microsoft active directory. Document ANSSI-PA-099 version 1.0 du 02 octobre 2023","url":"https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad"}],"reference":"CERTFR-2024-ALE-005","revisions":[{"description":"Version initiale","revision_date":"2024-02-15T00:00:00.000000"},{"description":"Ajout de recommandations et de pr\u00e9cisions sur le fonctionnement de la vuln\u00e9rabilit\u00e9","revision_date":"2024-02-22T00:00:00.000000"},{"description":"Ajout de recommandations concernant l'utilisation de NTLM","revision_date":"2024-03-15T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-04-15T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<span style=\"color: red;\"><strong>\\[Mise \u00e0 jour du 15 mars 2024\\] Ajout de\npr\u00e9cision concernant les d\u00e9fi-r\u00e9ponses NTLM</strong></span>\n\n<strong>\\[Mise \u00e0 jour du 22 f\u00e9vrier 2024\\] <span\nclass=\"mx_EventTile_body markdown-body\" dir=\"auto\">Ajout de\nrecommandations et de pr\u00e9cisions sur le fonctionnement de la\nvuln\u00e9rabilit\u00e9.</span></strong>\n\nLa vuln\u00e9rabilit\u00e9 CVE-2024-21413 permet \u00e0 un attaquant de contourner les\nmesures de s\u00e9curit\u00e9 de la suite Office, dont la solution de messagerie\nOutlook. Plus pr\u00e9cis\u00e9ment, son exploitation permet de contourner\ncertaines mesures de s\u00e9curit\u00e9 de la suite Office qui emp\u00eachent l'acc\u00e8s \u00e0\nune ressource externe sans validation de l'utilisateur.\n\nAinsi, en utilisant un lien malveillant dans un courriel, un attaquant\nest en mesure :\n\n-   d'obtenir la r\u00e9ponse \u00e0 un d\u00e9fi-r\u00e9ponse li\u00e9 \u00e0 l'authentification de\n    l'utilisateur, par exemple *via* le protocole SMB. Ce d\u00e9fi-r\u00e9ponse\n    d\u00e9pend de la configuration syst\u00e8me et est commun\u00e9ment au format\n    NTLMv2. Ce comportement combin\u00e9 \u00e0 une attaque de type \"relais NTLM\"\n    permettrait \u00e0 un attaque de r\u00e9aliser une coercition\n    d'authentification.\n-   si la cible du lien est un document Office, de provoquer l'ouverture\n    du document sans que le mode prot\u00e9g\u00e9 de Microsoft Office ne soit\n    activ\u00e9, permettant *in fine* une ex\u00e9cution de code arbitraire \u00e0\n    distance.\n\n<strong>\\[Publication initiale\\]</strong>\n\nLe 13 f\u00e9vrier 2024, Microsoft a publi\u00e9 un correctif pour la\nvuln\u00e9rabilit\u00e9 <span class=\"css-200\">CVE-2024-21413</span> affectant le\nproduit Outlook pour Windows.  \nElle permet \u00e0 un attaquant non authentifi\u00e9 <span\nclass=\"mx_EventTile_body\" dir=\"auto\">de divulguer le condensat\n</span>*NTLM* (*new technology LAN manager*) local et potentiellement\nune ex\u00e9cution de code arbitraire \u00e0 distance.  \nSon exploitation n\u00e9cessite une intervention de l'utilisateur.\n\nUne preuve de concept partielle ainsi qu'un descriptif de la\nvuln\u00e9rabilit\u00e9 ont \u00e9t\u00e9 publi\u00e9s par le chercheur auteur de sa d\u00e9couverte.\n\nLe CERT-FR n'a pas connaissance d'exploitation pour le moment. En\nfonction de l'\u00e9volution de la situation, cette alerte est susceptible\nd'\u00eatre mise \u00e0 jour.\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Outlook","vendor_advisories":[{"published_at":"2024-02-13","title":"Bulletin de s\u00e9curit\u00e9 Microsoft","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413"}]}