Détection CVE-2025-21298 : Vulnérabilité critique OLE sans clic dans Microsoft Outlook entraînant une exécution de code à distance
Table des matières :
Peu de temps après la divulgation d’une vulnérabilité de déni de service (DoS) dans Windows LDAP, connue sous le nom de CVE-2024-49113 alias LDAPNightmare, une autre vulnérabilité hautement critique affectant les produits Microsoft émerge. La vulnérabilité récemment corrigée dans Microsoft Outlook suivie sous le nom de CVE-2025-21298 pose des risques significatifs pour la sécurité des e-mails en permettant aux attaquants d’effectuer RCE sur les appareils Windows par le biais d’un e-mail spécialement conçu.
Détecter les tentatives d’exploitation de CVE-2025-21298 avec une règle Sigma gratuite de SOC Prime
Rien qu’en janvier 2025, 2 560 vulnérabilités ont été identifiées, rendant le début de l’année particulièrement risqué en raison de la recrudescence des vulnérabilités en cours d’exploitation active. Des exemples notables incluent CVE-2024-49112, CVE-2024-55591, et CVE-2024-49113.
Pour intensifier l’urgence, la CVE-2025-21298—une faille sans clic avec une évaluation de sévérité de 9,8 qui entraîne l’exécution de code à distance (RCE) sur les instances affectées—a été divulguée, posant une menace grave qui nécessite une action immédiate. Plateforme SOC Prime pour la défense collective contre les cybermenaces, offre une règle Sigma gratuite pour détecter à temps les tentatives d’exploitation.
MS Office Dépose des fichiers suspects (via file_event)
Cette règle aide à identifier les systèmes interagissant avec .rtf des fichiers ou d’autres types de fichiers suspects couramment liés à l’exploitation OLE, en se concentrant davantage sur le correctif des hôtes traitant activement des extensions à haut risque (par exemple, .rtf, .dll, .exe). La détection est compatible avec plusieurs solutions SIEM, EDR et Data Lake et mappée à MITRE ATT&CK, adressant la technique d’exploitation pour l’exécution côté client (T1203) et la sous-technique de phishing : pièce jointe de spearphishing (T1566.001). De plus, la règle est enrichie avec des métadonnées étendues, y compris des références CTI, des chronologies d’attaques, etc.
Les professionnels de la sécurité à la recherche de contenu plus pertinent concernant les tentatives d’exploitation des vulnérabilités peuvent suivre toute nouvelle règle ajoutée au Marché de la Détection des Menaces avec le tag CVE-2025-21298. De plus, les défenseurs peuvent accéder à la pile de détection complète visant à la détection proactive d’exploitation de vulnérabilités en cliquant sur le Explorer les Détections bouton ci-dessous.
Analyse de CVE-2025-21298
CVE-2025-21298, une faille critique RCE sans clic abordée dans la dernière mise à jour Patch Tuesday de Microsoft en 2025, est évaluée à 9,8 selon le score CVSS. La faille peut être déclenchée par un document RTF nuisible, souvent envoyé en tant que pièce jointe ou lien dans des campagnes de phishing conçues pour inciter les victimes à les ouvrir.
La vulnérabilité existe dans Windows OLE, une technologie qui permet l’intégration et la liaison de documents et objets. Selon Microsoft, l’exploitation peut se produire si une victime ouvre ou prévisualise un e-mail spécialement conçu dans Outlook. Les attaquants arment cette faille en envoyant un e-mail malveillant, et l’ouverture ou la prévisualisation de l’e-mail dans Outlook peut déclencher RCE sur le système ciblé.
Les défenseurs considèrent CVE-2025-21298 comme une menace majeure pour les organisations en raison de sa faible complexité d’attaque et son faible niveau d’interaction utilisateur. Une fois exploitée avec succès, la vulnérabilité pourrait entraîner un compromis complet du système, donnant aux attaquants le feu vert pour exécuter du code arbitraire, installer des logiciels offensifs, modifier ou supprimer des données, et accéder à des informations sensibles.
En tant que mesures potentielles de mitigation de la CVE-2025-21298, il est impératif d’appliquer le correctif immédiatement, surtout pour les clients de messageries comme Outlook. Pour les organisations incapables d’installer les mises à jour nécessaires, les défenseurs recommandent d’utiliser la solution de contournement fournie par Microsoft pour ouvrir les fichiers RTF issus de sources inconnues en format texte brut. Comptez sur Plateforme SOC Prime pour une exploitation proactive des vulnérabilités et une défense à l’épreuve du temps contre toute menace cyber émergente en utilisant une suite de produits complète pour la détection avancée des menaces, la chasse automatisée des menaces, et l’ingénierie de la détection pilotée par l’intelligence.
