Un bogue dans Microsoft Outlook pour Mac a permis à des acteurs malveillants d’utiliser le service de messagerie pour distribuer des logiciels malveillants ciblant les utilisateurs de Windows, ont découvert des chercheurs en cybersécurité.
Reegun Richard Jayapaul, Lead Threat Architect chez Trustwave SpiderLab, a révélé une récente campagne de logiciels malveillants qui a contourné un système de sécurité de messagerie spécifique. Il s’avère que l’analyse des liens malveillants spécialement conçue sur le système de sécurité est « faible », a-t-il affirmé.
Comme l’explique Jayapaul, il ne s’agit pas de contourner la détection : « il s’agit plutôt de l’analyseur de liens des systèmes de sécurité des e-mails qui ne peut pas identifier les e-mails contenant le lien ».
Microsoft corrige la faille
Pour faire court, une traduction incorrecte des liens hypertexte entraîne des systèmes de sécurité des e-mails permettant des liens malveillants jusqu’à l’utilisateur final.
Lors de l’utilisation de Microsoft Outlook sur Mac, si un acteur malveillant envoie le vecteur vulnérable (par exemple, http://trustwave.com) avec un lien hypertexte file:///maliciouslinnk, l’e-mail est envoyé en tant que file:///trustwave.com.
Le fichier de lien se traduit ensuite en version http, après avoir cliqué.
C’est ce lien qui n’est pas reconnu par « aucun système de sécurité de messagerie », et en tant que tel, est livré à la victime sous forme de lien cliquable.
Le rapport affirme en outre que « plusieurs systèmes de sécurité de messagerie » ont été touchés, car certains n’ont pas été corrigés, tandis que d’autres ont des « problèmes logistiques ». Il n’a cependant pas nommé de systèmes spécifiques, mais a ajouté que la technique d’attaque reste la même pour tous.
Le chercheur a révélé la vulnérabilité à Microsoft et a depuis été étiqueté comme CVE-2020-0696. Le fabricant du système d’exploitation a publié un correctif et une mise à jour automatique.
Le courrier électronique est, de loin, le vecteur d’attaque le plus populaire pour la plupart des acteurs malveillants. Il est utilisé pour distribuer des logiciels malveillants, pour hameçonner les victimes de leurs données personnelles identifiables, ainsi que des données de paiement. Les chercheurs en cybersécurité avertissent constamment qu’avoir un antivirus et un pare-feu ne suffiront pas, et que les consommateurs et les professionnels ne devraient pas +cliquer sur les liens ou télécharger les pièces jointes des e-mails, à moins d’être absolument certains des bonnes intentions de l’expéditeur.