Voilà qui devrait rappeler des souvenirs à ceux qui ont connu le ver I Love You ♥️

Waked propose une démo de l'exploitation de la vulnérabilité Outlook CVE 2023-23397. Une exploitation originale qui permet de faire récupérer le condensat Net-NTLMv2 de l'utilisateur à cause d'une notification wav qui pointe vers un partage SMB (format UNC) :

Ici il est important d'avoir les mises à jour côté client (Outlook, donc pack Office) ET côté serveur (Exchange). Microsoft a publié un script permettant de savoir si un serveur exchange a été compromis.

Le correctif a d'ailleurs été contourné quelques semaines plus tard, il a du faire l'objet d'un nouveau patch 😝

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter