Microsoft : Présence d’une vulnérabilité d’élévation de privilèges dans Skype Entreprise

Une vulnérabilité a été découverte sur Microsoft Skype Entreprise permettant à un attaquant non authentifié d'élever ses privilèges à distance sur un système ciblé.

Cette vulnérabilité provient du fait que Skype Entreprise ne parvient pas à traiter correctement les demandes d'authentification spécifiques. Son exploitation permet donc à un attaquant de voler l’empreinte des identifiants d'authentification de la victime et d'entreprendre toutes les actions autorisées pour cet utilisateur à son insu.

Afin d’exploiter cette vulnérabilité, l'attaquant n'a qu'à inviter un utilisateur ciblé à une session de messagerie instantanée en utilisant une image de profil contenant du code malveillant.

Informations
+

Impact

  • Elévation de privilèges

Criticité

  • CVSS v3 : 4.3

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Skype for Business 2016 (32-bit (Base) & 64-bit (Base))
  • Lync 2013 (SP1, 32-bit éditions, 64-bit éditions)

CVE

  • CVE-2017-11786

    Recommandations
    +

    Correctifs

    Microsoft a publié une mise à jour de sécurité sur Microsoft Security Update qui corrige la vulnérabilité en modifiant la manière dont Skype Entreprise traite les requêtes d’authentification.

    Solution de contournement

    Les administrateurs sont conseillés de ne pas utiliser de comptes privilégiés lors de la navigation sur Internet.

    Les utilisateurs sont conseillés de ne pas ouvrir les messages électroniques provenant de sources suspectes ou non reconnues et de ne pas ouvrir de liens contenants des caractères suspects.