Bug critico RCE di Microsoft Outlook sfruttato attivamente negli attacchi

La società di cybersecurity Check Point ha scoperto una vulnerabilità critica di esecuzione remota di codice (RCE) in Microsoft Outlook, attualmente sfruttata in attacchi informatici attivi, rappresentando una minaccia significativa per le organizzazioni in tutto il mondo.

Questo ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) a mettere in guardia le agenzie federali statunitensi a proteggere i loro sistemi contro tali attacchi in corso.

Il ricercatore di vulnerabilità di Check Point, Haifei Li, ha scoperto la vulnerabilità RCE ad alta gravità tracciata come CVE-2024–21413 (punteggio CVSS 9.8).

Questo difetto deriva da una convalida dell’input inadeguata, che può attivare l’esecuzione di codice quando si aprono email con link dannosi utilizzando una versione vulnerabile di Microsoft Outlook.

Lo sfruttamento riuscito di questa vulnerabilità consentirebbe a un attore malevolo di bypassare la Visualizzazione Protetta di Office e aprire file dannosi in modalità di modifica anziché in modalità protetta.

Potrebbe anche concedere all’attore malevolo privilegi elevati, inclusa la possibilità di leggere, scrivere e cancellare dati.

Microsoft ha affrontato la vulnerabilità CVE-2024–21413 un anno fa, avvertendo che il Riquadro di Anteprima potrebbe essere esso stesso un vettore di attacco.

Di conseguenza, visualizzare semplicemente un’email dannosa all’interno di Outlook potrebbe essere sufficiente per attivare lo sfruttamento, rendendolo eccezionalmente pericoloso.

Secondo Check Point, gli attaccanti sfruttano la vulnerabilità soprannominata Moniker Link, un metodo che inganna Outlook per aprire file non sicuri.

Questo consente agli attori malevoli di bypassare le protezioni integrate di Outlook per i link dannosi incorporati nelle email utilizzando il protocollo file://.

Gli attaccanti possono manipolare Outlook per trattare i file dannosi come risorse fidate aggiungendo un punto esclamativo seguito da testo arbitrario a un URL di file.

Inserendo questo punto esclamativo immediatamente dopo l’estensione del file negli URL che puntano a server controllati dagli attaccanti, insieme a del testo casuale, possono ingannare il sistema ed eseguire payload dannosi.

Ad esempio, un attaccante potrebbe creare un link come mostrato di seguito:

CLICCA QUI

Quando una vittima clicca sul link, Outlook recupera il file dal server dell’attaccante e lo esegue con privilegi elevati, concedendo all’attaccante il controllo sul sistema.

La vulnerabilità CVE-2024-21413 ha colpito diversi prodotti Microsoft Office, tra cui Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 e Microsoft Office 2019.

In risposta allo sfruttamento attivo di questa vulnerabilità, CISA ha aggiunto CVE-2024-21413 al suo Catalogo delle Vulnerabilità Sfruttate Conosciute (KEV).

Secondo la Direttiva Operativa Vincolante (BOD) 22-01 di novembre 2021, le agenzie federali hanno tempo fino al 27 febbraio 2025 per patchare i loro sistemi e proteggere le loro reti contro potenziali minacce.

“Questi tipi di vulnerabilità sono vettori di attacco frequenti per attori informatici malevoli e rappresentano rischi significativi per l’impresa federale,” ha avvertito l’agenzia di cybersecurity giovedì.

Con lo sfruttamento attivo in natura, CVE-2024-21413 presenta un grave rischio per la sicurezza per gli utenti di Outlook.

Pertanto, si consiglia alle organizzazioni private di applicare immediatamente le patch e rafforzare le difese informatiche per prevenire potenziali violazioni.