✔Хакеры эксплуатируют RCE-уязвимость в Microsoft Outlook - «Новости»

08 февраля 2025 690 Новости / Преимущества стилей / Отступы и поля / Вёрстка / Ссылки / Добавления стилей / Статьи об афоризмах / Самоучитель CSS / Типы носителей / Текст 0

Речь идет об уязвимости CVE-2024-21413, которую в прошлом году обнаружили специалисты компании Check Point. Проблема затрагивает ряд продуктов Office, включая Microsoft Office LTSC 2021 и Microsoft 365 Apps for Enterprise, а также Microsoft Outlook 2016 и Microsoft Office 2019.

Ошибка приводит к удаленному выполнению кода при открытии писем с вредоносными ссылками при использовании уязвимой версии Microsoft Outlook. Дело в том, что баг позволяет обойти Protected View (механизм, предназначенный для блокировки вредоносного содержимого, встроенного в файлы Office, путем открытия в режиме только для чтения) и открывать вредоносные файлы Office в режиме редактирования.

В итоге атака может привести к краже учетных данных NTLM и выполнению произвольного кода с помощью вредоносных документов Office.

Исследователи предупреждали, что панель предварительного просмотра тоже может стать вектором атаки, так как эксплуатировать CVE-2024-21413 можно даже через предварительный просмотр вредоносных документов.

Аналитики Check Point назвали эту уязвимость Moniker Link и писали, что она позволяет обойти защиту Outlook от вредоносных ссылок, встроенных в электронные письма посредством file://. Нужно лишь добавить восклицательный знак к URL, который указывает на подконтрольные злоумышленникам серверы.

Восклицательный знак добавляется сразу после расширения документа вместе с произвольным текстом (в своем примере Check Point использовала слово «something»): *CLICK ME*.

Такая ссылка обходит ограничения Outlook, и Outlook получает доступ к удаленному ресурсу 10.10.111.111estest.rtf при нажатии на ссылку, не отображая при этом никаких предупреждений или ошибок.

По словам исследователей, уязвимость связана с API MkParseDisplayName, поэтому может влиять и на другое ПО, которое его использует.

Как теперь сообщают представители CISA, уязвимость уже подвергается атаками и была внесена в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV).

«Подобные типы уязвимостей часто являются векторами атак со стороны злоумышленников и представляют значительные риски для федеральных организаций», — предупреждают в ведомстве.

Представители Агентства по кибербезопасности и защите инфраструктуры США (CISA) предупредили, что федеральные ведомства должны до 27 февраля 2025 года защитить свои системы от продолжающихся атак, нацеленных на критическую уязвимость в Microsoft Outlook. Речь идет об уязвимости CVE-2024-21413, которую в прошлом году обнаружили специалисты компании Check Point. Проблема затрагивает ряд продуктов Office, включая Microsoft Office LTSC 2021 и Microsoft 365 Apps for Enterprise, а также Microsoft Outlook 2016 и Microsoft Office 2019. Ошибка приводит к удаленному выполнению кода при открытии писем с вредоносными ссылками при использовании уязвимой версии Microsoft Outlook. Дело в том, что баг позволяет обойти Protected View (механизм, предназначенный для блокировки вредоносного содержимого, встроенного в файлы Office, путем открытия в режиме только для чтения) и открывать вредоносные файлы Office в режиме редактирования. В итоге атака может привести к краже учетных данных NTLM и выполнению произвольного кода с помощью вредоносных документов Office. Исследователи предупреждали, что панель предварительного просмотра тоже может стать вектором атаки, так как эксплуатировать CVE-2024-21413 можно даже через предварительный просмотр вредоносных документов. Аналитики Check Point назвали эту уязвимость Moniker Link и писали, что она позволяет обойти защиту Outlook от вредоносных ссылок, встроенных в электронные письма посредством file://. Нужно лишь добавить восклицательный знак к URL, который указывает на подконтрольные злоумышленникам серверы. Восклицательный знак добавляется сразу после расширения документа вместе с произвольным текстом (в своем примере Check Point использовала слово «something»): *CLICK ME*. Такая ссылка обходит ограничения Outlook, и Outlook получает доступ к удаленному ресурсу 10.10.111.111estest.rtf при нажатии на ссылку, не отображая при этом никаких предупреждений или ошибок. По словам исследователей, уязвимость связана с API MkParseDisplayName, поэтому может влиять и на другое ПО, которое его использует. Как теперь сообщают представители CISA, уязвимость уже подвергается атаками и была внесена в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). «Подобные типы уязвимостей часто являются векторами атак со стороны злоумышленников и представляют значительные риски для федеральных организаций», — предупреждают в ведомстве.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.