Crítica vulnerabilidad RCE de Microsoft Outlook explotada activamente en ataques

La firma de ciberseguridad Check Point ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en Microsoft Outlook, que actualmente está siendo explotada en ciberataques activos, representando una amenaza significativa para las organizaciones en todo el mundo.

Esto ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) a advertir a las agencias federales de EE. UU. que aseguren sus sistemas contra tales ataques en curso.

El investigador de vulnerabilidades de Check Point, Haifei Li, descubrió la vulnerabilidad RCE de alta gravedad rastreada como CVE-2024–21413 (puntuación CVSS 9.8).

Este fallo resulta de una validación de entrada inadecuada, que puede desencadenar la ejecución de código al abrir correos electrónicos con enlaces maliciosos utilizando una versión vulnerable de Microsoft Outlook.

La explotación exitosa de esta vulnerabilidad permitiría a un actor de amenazas eludir la Vista Protegida de Office y abrir archivos maliciosos en modo de edición en lugar de en modo protegido.

También podría otorgar al actor de amenazas privilegios elevados, incluida la capacidad de leer, escribir y eliminar datos.

Microsoft abordó la vulnerabilidad CVE-2024–21413 hace un año, advirtiendo que el Panel de Vista Previa podría ser en sí mismo un vector de ataque.

Como resultado, simplemente ver un correo electrónico malicioso dentro de Outlook podría ser suficiente para desencadenar la explotación, haciéndola excepcionalmente peligrosa.

Según Check Point, los atacantes explotan la vulnerabilidad denominada Moniker Link, un método que engaña a Outlook para abrir archivos inseguros.

Esto permite a los actores de amenazas eludir las protecciones integradas de Outlook para enlaces maliciosos incrustados en correos electrónicos utilizando el protocolo file://.

Los atacantes pueden manipular Outlook para tratar archivos maliciosos como recursos de confianza al agregar un signo de exclamación seguido de texto arbitrario a una URL de archivo.

Al insertar este signo de exclamación inmediatamente después de la extensión del archivo en URLs que apuntan a servidores controlados por el atacante, junto con algún texto aleatorio, pueden engañar al sistema y ejecutar cargas útiles maliciosas.

Por ejemplo, un atacante podría crear un enlace como se muestra a continuación:

HAZ CLIC AQUÍ

Cuando una víctima hace clic en el enlace, Outlook recupera el archivo del servidor del atacante y lo ejecuta con privilegios elevados, otorgando al atacante control sobre el sistema.

La vulnerabilidad CVE-2024-21413 ha afectado a múltiples productos de Microsoft Office, incluidos Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 y Microsoft Office 2019.

En respuesta a la explotación activa de esta vulnerabilidad, CISA ha agregado CVE-2024-21413 a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV).

De acuerdo con la Directiva Operativa Vinculante (BOD) 22-01 de noviembre de 2021, se ha dado a las agencias federales un plazo hasta el 27 de febrero de 2025 para parchear sus sistemas y proteger sus redes contra amenazas potenciales.

“Estos tipos de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal”, advirtió la agencia de ciberseguridad el jueves.

Con la explotación activa en el mundo, CVE-2024-21413 presenta un grave riesgo de seguridad para los usuarios de Outlook.

Por lo tanto, se aconseja a las organizaciones privadas que apliquen inmediatamente parches y refuercen las defensas de ciberseguridad para prevenir posibles brechas.