Обновление 14 февраля, 16:50 EST: Статья и название изменены после того, как Microsoft отозвала обновление "активная эксплуатация", добавленное в рекомендацию CVE-2024-21413.
Компания Microsoft сообщает, что удаленные злоумышленники, не прошедшие проверку подлинности, могут тривиально использовать критическую уязвимость в Outlook, которая также позволяет обойти Office Protected View.
Обнаруженная исследователем уязвимостей Check Point Хайфеем Ли (Haifei Li), она отслеживается как CVE-2024-21413эта ошибка приводит к удаленному выполнению кода (RCE) при открытии писем с вредоносными ссылками с помощью уязвимой версии Microsoft Outlook.
Это происходит потому, что дефект также позволяет злоумышленникам обойти Защищенный вид (разработанный для блокировки вредоносного содержимого, встроенного в файлы Office, путем открытия их в режиме только для чтения) и открыть вредоносные файлы Office в режиме редактирования.
Редмонд также предупредил, что панель предварительного просмотра является вектором атаки для этого дефекта безопасности, позволяя успешно эксплуатировать его даже при предварительном просмотре вредоносных документов Office.
Неавторизованные злоумышленники могут удаленно эксплуатировать CVE-2024-21413 в рамках атак низкой сложности, не требующих взаимодействия с пользователем.
"Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить высокие привилегии, которые включают функции чтения, записи и удаления", - поясняет Microsoft объясняет ..
"Злоумышленник может создать вредоносную ссылку, обходящую протокол защищенного просмотра, что приводит к утечке локальной учетной информации NTLM и удаленному выполнению кода (RCE)".
CVE-2024-21413 затрагивает множество продуктов Office, включая Microsoft Office LTSC 2021 и Microsoft 365 Apps for Enterprise, а также Microsoft Outlook 2016 и Microsoft Office 2019 (в рамках расширенной поддержки).
Восклицательный знак для обхода защиты Outlook
Как объясняет Check Point в опубликованном сегодня отчете, уязвимость, которую они назвали Moniker Link, позволяет злоумышленникам обойти встроенную защиту Outlook от вредоносных ссылок, встроенных в электронные письма по протоколу file://, и добавить восклицательный знак к URL, указывающим на контролируемые злоумышленниками серверы.
Восклицательный знак добавляется сразу после расширения документа вместе с произвольным текстом (в своем примере Check Point использовала слово "something"), как показано ниже:
This type of hyperlink bypasses Outlook security restriction, and Outlook will access the "<![CDATA[0.10.111.111testtest.rtf" remote resource when the link is clicked without throwing any warnings or errors.
Дефект появился из-за небезопасного API MkParseDisplayName, поэтому уязвимость может повлиять и на другое программное обеспечение, которое его использует.
Последствия атак, успешно эксплуатирующих CVE-2024-21413, включают кражу учетных данных NTLM, выполнение произвольного кода через вредоносно созданные документы Office,
"Мы подтвердили наличие этой ошибки/вектора атаки #MonikerLink в новейших средах Windows 10/11 + Microsoft 365 (Office 2021)", - говорится в сообщении Check Point. Check Point заявила..
"Другие редакции/версии Office, вероятно, также затронуты. На самом деле, мы считаем, что эта проблема остается незамеченной и существовала в экосистеме Windows/COM на протяжении десятилетий, поскольку она лежит в основе COM API. Мы настоятельно рекомендуем всем пользователям Outlook как можно скорее применить официальное исправление".
Сегодня Microsoft обновила совет по безопасности CVE-2024-21413, предупредив, что эта ошибка Outlook также использовалась в атаках "нулевого дня" до вторника патчей в этом месяце.
Однако компания отменила это изменение, заявив, что она "ошибочно обновила флаг эксплуатации и оценку возможности эксплуатации, чтобы указать на существование эксплуатации".