ZDNet a publié un article sur les 10 vulnérabilités à surveiller de près en 2023. Ces vulnérabilités ont été largement exploitées par les groupes de cyberattaquants, et les premières tendances de l’année 2023 ne présagent pas de changements à ce sujet. Lire l'article
Microsoft a communiqué le 14 mars 2023 sur une faille (CVE-2023-23397) touchant une grande partie des versions de Microsoft Outlook (client mail). D’un score de 9.8, cette vulnérabilité critique est exploitée lorsqu’un attaquant envoie un lien par mail pointant vers une ressource SMB (protocole de partage de fichier) qu’il contrôle. L’attaquant peut alors récupérer le hash NTLMv2 du mot de passe de l’utilisateur et le rejouer sur d’autres ressources afin d’usurper l’identité de l’utilisateur.
Aucune correction de la faille ne semble avoir été communiquée pour l’instant.
OpenSSL est une librairie multi-plateforme qui implémente de nombreuses fonctions cryptographiques. Elle est très régulièrement implémentée dans des solutions manipulant des certificats - ou plus largement des objets cryptographiques.
La CVE-2023-0286 touche les versions 3.0.0, 1.1.1, et 1.0.2 d’OpenSSL et permet à un attaquant de lire à distance la mémoire du serveur exécutant OpenSSL (ainsi que de rendre possible le déni de service). Théoriquement, elle pourrait être utilisée avec plusieurs rejeux pour déterminer les clés utilisées dans un échange cryptographique (comme une communication TLS par exemple).
OpenSSL a déjà partagé des patchs (3.0.8, 1.1.1t, et 1.0.2zg) corrigeant cette vulnérabilité, mais toutes les applications embarquant une version d’OpenSSL doivent également être vérifiées et patchées si nécessaire.