Détection CVE-2024-21378 : Vulnérabilité dans Microsoft Outlook Conduisant à l’Exécution de Code à Distance Authentifiée
Table des matières :
Dans la foulée des désagréables vulnérabilités de JetBrains TeamCity (CVE-2024-27198, CVE-2024-2719), les experts en sécurité révèlent une nouvelle RCE affectant Microsoft Outlook. Les adversaires authentifiés pourraient exploiter ce problème de sécurité pour exécuter du code malveillant sur l’instance impactée, obtenant ainsi un contrôle étendu sur celle-ci. Bien que la vulnérabilité ait été corrigée par Microsoft en février 2024, le fournisseur la classe comme « Exploitation Plus Probable », en particulier à la lumière d’une récente publication de preuve de concept (PoC).
Détecter les tentatives d’exploitation de CVE-2024-21378
À la lumière de CVE-2024-21378 potentiellement armé pour des campagnes en nature, il est vital pour les défenseurs cybernétiques de se défendre de manière proactive et de déceler toute activité suspecte dès les premières étapes possibles du développement de l’attaque. La plateforme SOC Prime agrège un ensemble de règles Sigma spécialement sélectionnées pour identifier les activités malveillantes liées à l’exploitation de la vulnérabilité Microsoft Outlook.
Les règles de l’équipe SOC Prime détectent les opérations liées à un formulaire Outlook et un changement de fichier dans un chemin spécifique lié à celui-ci qui pourrait être utilisé pour placer des fichiers DLL malveillants. Toutes les détections sont compatibles avec 28 technologies SIEM, EDR, XDR et Data Lake et sont cartographiées sur le cadre MITRE ATT&CK v14.1 abordant la tactique de l’évasion défensive, avec Hijack Execution Flow (T1574) comme technique principale.
Les professionnels de la sécurité cherchant des moyens de renforcer leur résilience cybernétique contre les menaces émergentes de toute ampleur, y compris les CVE en vogue, peuvent plonger dans l’ensemble de la collection d’algorithmes de détection traitant de l’exploitation des vulnérabilités. Il suffit de cliquer sur le Explorer les Détections bouton ci-dessous et d’explorer la liste des règles enrichie d’une métadonnée étendue et d’une intelligence sur mesure.
Analyse de CVE-2024-21378 : Exécution de code à distance dans Microsoft Outlook
En 2023, les chercheurs de NetSpi ont découvert une vulnérabilité d’exécution de code à distance authentifiée impactant Microsoft Outlook. La faille référencée sous le code CVE-2024-21378 permet aux hackers d’exécuter du code malveillant sur le système affecté. Cependant, pour exploiter ce problème, les acteurs de menace ont besoin d’une authentification avec un accès LAN et d’un jeton d’accès valide pour un utilisateur Exchange. De plus, un utilisateur ciblé est incité à interagir avec un fichier conçu pour déclencher les étapes d’attaque suivantes.
Notamment, l’exploitation repose sur le vecteur d’attaque décrit par Etienne Stalmans chez SensePost en 2017. Cette méthode utilise le code VBScript au sein des objets de formulaire Outlook pour atteindre la RCE avec accès à la boîte aux lettres. Bien que Microsoft ait traité la question avec un correctif pertinent, la fonction de synchronisation vulnérable des objets de formulaire n’a jamais été modifiée, ce qui a mis en lumière la faille de sécurité d’Outlook.
La faille a été signalée à Microsoft en 2023, et le fournisseur l’a corrigée dans toutes les versions prises en charge d’Outlook le 13 février 2024. Le 11 mars, les chercheurs de NetSpi ont partagé un aperçu de la faille, y compris des détails sur le code PoC connexe.
Avec les détails du CVE-2024-21378 accessibles publiquement sur le web, le risque d’exploitation potentielle augmente, ce qui alimente l’ultra-réactivité des défenseurs. En exploitant l’Attack Detective de SOC Prime, les ingénieurs en sécurité peuvent élever la posture de cybersécurité de l’organisation en identifiant rapidement les lacunes des défenses cybernétiques, en identifiant les données appropriées à collecter pour combler ces lacunes et optimiser le ROI des SIEM, et en hiérarchisant les procédures de détection avant que les adversaires n’aient la chance de frapper.
