Ben Barnea, chercheur chez Akamai, a découvert une nouvelle vulnérabilité importante dans un composant d’Internet Explorer, attribuée à CVE-2023-29324 avec un score de base CVSS (Common Vulnerability Scoring System) de 6,5.
Parmi les points à retenir :
- La vulnérabilité fait qu’une fonction de l’API Windows – MapUrlToZone – considère à tort qu’un chemin d’accès distant est un chemin d’accès local.
- MapUrlToZone est couramment utilisée comme mesure de sécurité. Elle a notamment été utilisée pour atténuer la vulnérabilité critique d’Outlook CVE-2023-23397 corrigée dans le Patch Tuesday de mars.
- Un attaquant non authentifié sur internet pourrait utiliser la vulnérabilité pour forcer un client Outlook à se connecter à un serveur contrôlé par l’attaquant. Il en résulte un vol d’informations d’identification NTLM. Il s’agit d’une vulnérabilité de type zéro-clic, ce qui signifie qu’elle peut être déclenchée sans aucune interaction de l’utilisateur.
- Toutes les versions de Windows sont concernées par la vulnérabilité. Par conséquent, toutes les versions du client Outlook sous Windows sont exploitables. Toutefois, selon Microsoft, les serveurs Exchange dotés de la mise à jour de mars omettent la fonctionnalité vulnérable, ce qui empêche les clients vulnérables d’être exposés.
- Le problème a été communiqué de manière responsable à Microsoft et traité dans le Patch Tuesday de mai 2023.