Критическая уязвимость RCE в Microsoft Outlook активно эксплуатируется в атаках

Кибербезопасная компания Check Point обнаружила критическую уязвимость удаленного выполнения кода (RCE) в Microsoft Outlook, которая в настоящее время используется в активных кибератаках, представляя собой значительную угрозу для организаций по всему миру.

Это побудило Агентство по кибербезопасности и безопасности инфраструктуры (CISA) предупредить федеральные агентства США о необходимости защитить свои системы от таких продолжающихся атак.

Исследователь уязвимостей Check Point Хайфэй Ли обнаружил уязвимость RCE высокой степени серьезности, отслеживаемую как CVE-2024–21413 (оценка CVSS 9.8).

Этот недостаток возникает из-за неправильной проверки входных данных, что может привести к выполнению кода при открытии электронных писем с вредоносными ссылками с использованием уязвимой версии Microsoft Outlook.

Успешная эксплуатация этой уязвимости позволит злоумышленнику обойти режим защищенного просмотра Office и открыть вредоносные файлы в режиме редактирования, а не в защищенном режиме.

Это также может предоставить злоумышленнику повышенные привилегии, включая возможность чтения, записи и удаления данных.

Microsoft устранила уязвимость CVE-2024–21413 год назад, предостерегая, что панель предварительного просмотра может сама по себе быть вектором атаки.

В результате простое просмотр вредоносного электронного письма в Outlook может быть достаточно для активации эксплуатации, что делает это особенно опасным.

Согласно Check Point, злоумышленники используют уязвимость, названную Moniker Link, метод, который обманывает Outlook, заставляя его открывать небезопасные файлы.

Это позволяет злоумышленникам обойти встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма с использованием протокола file://.

Злоумышленники могут манипулировать Outlook, заставляя его рассматривать вредоносные файлы как доверенные ресурсы, добавляя восклицательный знак, за которым следует произвольный текст, к URL файла.

Вставив этот восклицательный знак сразу после расширения файла в URL, указывающих на серверы, контролируемые злоумышленниками, вместе с некоторым случайным текстом, они могут обмануть систему и выполнить вредоносные нагрузки.

Например, злоумышленник может создать ссылку, как показано ниже:

НАЖМИ МЕНЯ

Когда жертва нажимает на ссылку, Outlook загружает файл с сервера злоумышленника и запускает его с повышенными привилегиями, предоставляя злоумышленнику контроль над системой.

Уязвимость CVE-2024-21413 затронула несколько продуктов Microsoft Office, включая Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 и Microsoft Office 2019.

В ответ на активную эксплуатацию этой уязвимости CISA добавила CVE-2024-21413 в свой Каталог известных эксплуатируемых уязвимостей (KEV).

Согласно ноябрьскому 2021 года Обязательному оперативному указанию (BOD) 22-01, федеральным агентствам предоставлено время до 27 февраля 2025 года, чтобы исправить свои системы и защитить свои сети от потенциальных угроз.

«Эти типы уязвимостей являются частыми векторами атак для злонамеренных кибер-актеров и представляют собой значительные риски для федерального предприятия», - предупредило агентство по кибербезопасности в четверг.

С активной эксплуатацией в дикой природе CVE-2024-21413 представляет собой серьезный риск безопасности для пользователей Outlook.

Таким образом, частным организациям рекомендуется немедленно применять патчи и усиливать меры кибербезопасности, чтобы предотвратить потенциальные нарушения.