SOLUTIONS
icon
JIZÔ NDR
JIZÔ ALERT ADVISOR (IA)
JIZÔ FOR OT
icon
HOSHI
icon
LOKI
SOCIÉTÉ
icon
SOCIETE
icon
ON RECRUTE
icon
CONTACT
SUBSCRIBE
ACTUS
BLOG
icon
PRESSE
icon
AGENDA
PARTENAIRES
REVENDEURS ET DISTRIBUTEURS
PARTENAIRES TECHNOLOGIQUES
RESSOURCES
icon
DOSSIERS ET LIVRES BLANCS
WEBINAIRES
CONTACT
GET A DEMO

COMMENT JIZÔ PEUT DÉTECTER LA CVE-2024-21413, AKA MONIKERLINK, DÉCOUVERTE DANS MICROSOFT OUTLOOK

La CVE-2024-21413, également connue sous le nom de bug MonikerLink, est une vulnérabilité critique de type exécution de code à distance (RCE) découverte dans Microsoft Outlook.

Cette faille permet aux attaquants d'exécuter du code arbitraire sur l'ordinateur de la victime en exploitant certains types d'hyperliens dans Outlook, en contournant les mécanismes de sécurité d'Outlook pour accéder ou contrôler le système de la victime​​.

Le bug exploite le composant COM de Windows, où Word, fonctionnant en arrière-plan comme un serveur COM sans afficher son interface utilisateur, ouvre et analyse les fichiers RTF malveillants situés sur un serveur contrôlé par l'attaquant.

Cette attaque peut se faire sans interaction de l'utilisateur, en contournant le mode de vue protégée d'Outlook, ce qui augmente considérablement le risque d'exploitation malveillante​​.

La vulnérabilité permet à des attaquants non authentifiés d'exploiter la faille pour obtenir des privilèges élevés, y compris la lecture, l'écriture et la suppression de données dans les systèmes affectés​​.

JIZÔ NDR DÉTECTE LA VULNÉRABILITÉ MONIKERLINK CONTRE MICROSOFT OUTLOOK.

La solution Jizô NDR (Network Detection and Response) est conçue pour détecter et répondre aux menaces réseau, y compris les exploitations de vulnérabilités comme la CVE-2024-21413 dans Microsoft Outlook.

Et voici comment il s'y prend pour détecter ce type de menace :


Analyse du trafic réseau

  • Jizô surveille continuellement le trafic réseau à la recherche de signes d'activité suspecte ou malveillante. En exploitant la CVE-2024-21413, un attaquant va générer des motifs de trafic réseau uniques lorsqu'il tente d'exploiter la vulnérabilité pour exécuter du code à distance via des liens malveillants dans des emails Outlook.


Détection des anomalies

  • La solution utilise l'apprentissage machine et des algorithmes d'analyse comportementale pour identifier les comportements anormaux qui pourraient indiquer une exploitation de la vulnérabilité. Cela peut inclure des augmentations soudaines du trafic vers des destinations inconnues ou suspectes, des tentatives d'accès anormales aux ressources réseau, ou l'utilisation de protocoles de communication inhabituels.


Signatures et IoCs

  • Jizô va également utiliser des signatures de menaces et des indicateurs de compromission (IoCs) spécifiques à la CVE-2024-21413 pour détecter des tentatives d'exploitation. Ces signatures et IoCs sont régulièrement mis à jour grâce à notre équipe de renseignement et de recherches sur les menaces pour assurer une détection précise et rapide.


Corrélation d'événements

  • La solution va corréler différents événements de sécurité détectés à travers le réseau pour identifier une attaque potentielle exploitant la CVE-2024-21413. Par exemple, une série d'emails contenant des liens malveillants suivis d'un trafic réseau suspect pourrait être un indicateur d'une telle exploitation.

Si vous êtes utilisateurs d'un appliance Jizô NDR, n'hésitez pas à vous rapprocher de nous pour récupérer vos sets de détection prédéfinis.

NB: Les versions affectées incluent Microsoft Office 2019, Microsoft 365 Apps for Enterprise, Microsoft Office LTSC 2021 et Microsoft Office 2016.

La gravité de cette vulnérabilité est évaluée à 9.8, ce qui la classe comme critique.

Elle a été exploitée comme un jour zéro avant d'être corrigée lors de la mise à jour de sécurité du Patch Tuesday du mois de février 2024.