Exploitation de la CVE-2024-21413
Exploitation de la CVE-2024-21413; une vulnérabilité zero-day critique dans Microsoft Outlook permettant le contournement des protections de sécurité. Ce bypass d'authentification pouvait conduire à la fuite d'informations sensibles sans interaction utilisateur.
La vulnérabilité exploite le traitement des Moniker Links par Microsoft Outlook, permettant de contourner la protection "Protected View". Le lien malveillant force le client à initier une connexion SMB vers un serveur contrôlé par l'attaquant, révélant le hash netNTLMv2 de l'utilisateur.
J'ai récupéré un script Python sur GitHub (CMNatic: disponible ici )automatisant l'envoi d'emails contenant le Moniker Link malveillant. Le code génère un email HTML avec un hyperlink exploitant le protocole file:// pour déclencher la connexion SMB. L'outil Responder était configuré pour capturer les tentatives d'authentification.
1. Configuration de Responder en écoute sur l'interface réseau
2. Génération de l'email malveillant avec le PoC Python
3. Envoi via serveur SMTP vers la victime
4. Ouverture de l'email dans Outlook vulnérable
5. Clic sur le lien déclenchant la connexion SMB
6. Capture du hash netNTLMv2 par Responder
Le principal défi était de contourner les protections "Protected View" d'Outlook sans alerter l'utilisateur. J'ai également dû adapter le payload pour qu'il soit interprété correctement par le client Outlook tout en évitant les détections de sécurité. L'optimisation du timing entre l'envoi de l'email et le démarrage de l'écouteur Responder était cruciale pour la réussite de l'exploitation.
L'exploitation a été réalisée dans un environnement de lab TryHackMe isolé, comprenant une machine Windows avec Outlook vulnérable et une AttackBox Linux pour l'exécution des outils d'attaque. Cette configuration a permis de tester la vulnérabilité sans risque pour les systèmes de production.
Complété
1 jour
Attaquant
Projet personel