Date de la divulgation (source) : 14 janvier 2025
CVE-2025-21298 est une faille critique dans la technologie OLE (Object Linking and Embedding) de Windows. Ce problème concerne un large éventail de systèmes, de Windows Server 2008 à 2025 et Windows 10/11, et a un impact à la fois sur les installations de serveurs (y compris Server Core) et sur les configurations de bureau. Le risque est particulièrement élevé pour les systèmes qui traitent des fichiers Rich Text Format (RTF) ou des courriels via Microsoft Outlook.
Un attaquant peut exploiter cette vulnérabilité en créant un fichier RTF malveillant ou un courrier électronique contenant une charge utile. Il l'envoie à une victime, qui interagit à son insu avec le fichier et déclenche l'exploit :
- La victime ouvre le fichier RTF ou l'e-mail à l'aide de Microsoft Outlook ou d'une autre application compatible OLE.
- L'e-mail est simplement prévisualisé dans le volet de lecture d'Outlook, sans qu'aucun clic ne soit nécessaire.
La charge utile malveillante intégrée dans le document ou l'e-mail s'exécute, donnant à l'attaquant le contrôle total du système de la victime. Cela signifie qu'il peut voler des données, installer des logiciels malveillants ou élever ses privilèges sans que la victime n'ait à faire beaucoup plus que jeter un coup d'œil à sa boîte de réception.
Microsoft Exchange Server ou Microsoft Outlook en tant qu'applications autonomes ne sont pas directement vulnérables car la faille réside dans Windows OLE, qui fait partie du système d'exploitation sous-jacent.
Cependant, Outlook devient la passerelle, car il traite les fichiers RTF ou les courriels qui servent de mécanisme de livraison pour l'exploit.
Pour atténuer cette vulnérabilité, configurez Microsoft Outlook pour qu'il ouvre les courriels au format texte brut afin d'empêcher le rendu des fichiers RTF susceptibles d'inclure des objets OLE malveillants et évitez d'ouvrir des fichiers RTF ou des pièces jointes provenant de sources non fiables. Pour une liste complète des produits concernés et des mesures correctives détaillées, voir l'avis de sécurité de Microsoft.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2025-21298 - CVSS 9.8 (critique) - attribué par Microsoft |
| Description de la vulnérabilité |
Dans un scénario d'attaque par courrier électronique, un attaquant pourrait exploiter la vulnérabilité en envoyant un courrier électronique spécialement conçu à la victime. L'exploitation de la vulnérabilité peut impliquer soit qu'une victime ouvre un courriel spécialement conçu avec une version affectée du logiciel Microsoft Outlook, soit que l'application Outlook de la victime affiche un aperçu d'un courriel spécialement conçu. L'attaquant pourrait alors exécuter un code à distance sur la machine de la victime. |
| Date de la divulgation |
14 janvier 2025 |
| Actifs touchés |
Cette vulnérabilité affecte la technologie OLE de Windows |
| Versions de logiciels vulnérables |
Cette vulnérabilité affecte les produits Windows Server (2008 à 2025) et les systèmes d'exploitation Windows 10/11. Les produits spécifiques affectés sont trop longs à énumérer ici, mais ils sont disponibles dans un tableau dans l'avis de sécurité de Microsoft. |
| PoC disponible ? |
Un programme d'exploitation (PoC) est disponible publiquement sur GitHub. Il s'agit d'un PoC de corruption de mémoire, pas d'un exploit, mais il y a un fichier rtf dans ce dépôt qui reproduit la vulnérabilité. |
| Statut d'exploitation |
Nous n'avons pas observé cette vulnérabilité sur la liste de la CISA des vulnérabilités exploitées connues ou dans GreyNoise au moment de la rédaction de ce document. |
| Statut du patch |
Microsoft a publié des mises à jour de sécurité pour chacun des produits concernés dans son Avis de sécurité. La société a également fourni des conseils d'atténuation spécifiques aux utilisateurs de Microsoft Outlook, en leur recommandant de lire les messages électroniques au format texte. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 482,270 serveurs Exchange et portails Outlook Web Access exposés. Une grande partie d'entre eux (25%) est géolocalisée en Allemagne.
Notez que si ces serveurs exposés ne sont pas directement vulnérables à CVE-2025-21298 - puisque la faille réside dans le composant Windows OLE plutôt que dans Exchange ou Outlook lui-même -, ils servent d'indicateurs de risque potentiel. ils servent d'indicateurs de risque potentiel. Il est essentiel de donner la priorité aux correctifs et au renforcement des systèmes dans ces environnements.
Carte des portails Exchange Server et Outlook Web Access exposés :
Censys Requête de recherche :
services.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) and not labels: {honeypot, tarpit}
Censys Requête ASM :
host.services.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) or web_entity.instances.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) and not host.labels: {honeypot, tarpit}
Références
