Vulnerabilidade Crítica de RCE do Microsoft Outlook Sendo Ativamente Explorada em Ataques

A empresa de cibersegurança Check Point descobriu uma vulnerabilidade crítica de execução remota de código (RCE) no Microsoft Outlook, que está sendo explorada em ataques cibernéticos ativos, representando uma ameaça significativa para organizações em todo o mundo.

Isso levou a Agência de Segurança Cibernética e de Infraestrutura (CISA) a alertar as agências federais dos EUA para proteger seus sistemas contra esses ataques em andamento.

O pesquisador de vulnerabilidades da Check Point, Haifei Li, descobriu a vulnerabilidade RCE de alta gravidade rastreada como CVE-2024–21413 (pontuação CVSS 9.8).

Essa falha resulta de uma validação inadequada de entrada, que pode acionar a execução de código ao abrir e-mails com links maliciosos usando uma versão vulnerável do Microsoft Outlook.

A exploração bem-sucedida dessa vulnerabilidade permitiria que um ator de ameaça contornasse a Visualização Protegida do Office e abrisse arquivos maliciosos em modo de edição em vez de modo protegido.

Isso também poderia conceder ao ator de ameaça privilégios elevados, incluindo a capacidade de ler, escrever e excluir dados.

A Microsoft abordou a vulnerabilidade CVE-2024–21413 há um ano, alertando que o Painel de Visualização poderia ser um vetor de ataque.

Como resultado, simplesmente visualizar um e-mail malicioso no Outlook pode ser suficiente para acionar a exploração, tornando-o excepcionalmente perigoso.

De acordo com a Check Point, os atacantes exploram a vulnerabilidade chamada Moniker Link, um método que engana o Outlook para abrir arquivos inseguros.

Isso permite que os atores de ameaça contornem as proteções integradas do Outlook para links maliciosos incorporados em e-mails usando o protocolo file://.

Os atacantes podem manipular o Outlook para tratar arquivos maliciosos como recursos confiáveis, anexando um ponto de exclamação seguido de texto arbitrário a uma URL de arquivo.

Ao inserir esse ponto de exclamação imediatamente após a extensão do arquivo em URLs que apontam para servidores controlados por atacantes, juntamente com algum texto aleatório, eles podem enganar o sistema e executar cargas maliciosas.

Por exemplo, um atacante pode criar um link como mostrado abaixo:

CLIQUE EM MIM

Quando uma vítima clica no link, o Outlook recupera o arquivo do servidor do atacante e o executa com privilégios elevados, concedendo ao atacante controle sobre o sistema.

A vulnerabilidade CVE-2024-21413 afetou vários produtos do Microsoft Office, incluindo Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 e Microsoft Office 2019.

Em resposta à exploração ativa dessa vulnerabilidade, a CISA adicionou a CVE-2024-21413 ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas (KEV).

De acordo com a Diretiva Operacional Vinculativa (BOD) 22-01 de novembro de 2021, as agências federais têm até 27 de fevereiro de 2025 para corrigir seus sistemas e proteger suas redes contra ameaças potenciais.

“Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal”, alertou a agência de cibersegurança na quinta-feira.

Com a exploração ativa em andamento, a CVE-2024-21413 apresenta um risco de segurança severo para os usuários do Outlook.

Portanto, organizações privadas são aconselhadas a aplicar imediatamente patches e reforçar as defesas de cibersegurança para prevenir possíveis violações.