Microsoft a finalement résolu un problème Outlook connu, confirmé en février, qui déclenchait des alertes de sécurité incorrectes après l'installation des mises à jour de sécurité de décembre pour Outlook Desktop.

La société a reconnu le bug début février après que de nombreux utilisateurs de Microsoft 365 signalé voyant des avertissements inattendus indiquant que « Cet emplacement peut être dangereux » et « Microsoft Office a identifié un problème de sécurité potentiel » lors d'un double-clic sur les fichiers de calendrier ICS.

Les alertes ont été marquées comme erronées et sont causées par les mises à jour de sécurité d'Outlook. Ces mises à jour corrigent une vulnérabilité de divulgation d'informations (CVE-2023-35636) qui permet aux attaquants de voler des hachages NTLM à l'aide de fichiers conçus de manière malveillante.

Les hachages NTLM volés peuvent ensuite être utilisés pour effectuer des attaques de type « pass-the-hash » sur les systèmes Windows, accéder à des données sensibles ou se déplacer latéralement au sein du réseau.

Redmond a résolu le problème début avril, mais l'a annulé après l'avoir envoyé aux membres Office Insider dans le canal bêta. « L'équipe Outlook a trouvé des problèmes avec le correctif alors qu'il était testé dans les canaux Insider », a déclaré Microsoft.

Cependant, dans une nouvelle mise à jour de la même document de support Lundi, la société a déclaré que le problème connu avait finalement été résolu dans la mise à jour publique du 9 juillet pour Outlook Desktop.

Il est conseillé aux clients qui ont appliqué une solution de contournement recommandée par Microsoft (les obligeant à ajouter des clés de registre qui désactiveraient l’avis de sécurité) de l’annuler avant d’installer les versions corrigées d’Outlook pour s’assurer que le bogue a été résolu.

« Si vous définissez les clés de registre ci-dessous pour désactiver temporairement l'avis de sécurité, vous pouvez tester leur suppression et confirmer que le dernier correctif résout le problème », a expliqué Redmond.

« Si vous décidez d'utiliser la clé de registre, sachez qu'elle arrêtera les messages d'avertissement de sécurité pour tous les types de fichiers et pas seulement pour les fichiers .ICS. »

Le mois dernier, Microsoft a également annoncé qu’il supprimerait l’authentification de base pour les comptes de messagerie personnels Outlook d’ici le 16 septembre.

Un mois plus tôt, il avait partagé un correctif temporaire pour un bogue empêchant les utilisateurs de Microsoft 365 de répondre aux e-mails chiffrés à l'aide du client de bureau Outlook.