Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило срочное предупреждение о критической уязвимости в Microsoft Outlook. Федеральным ведомствам предписано устранить данную угрозу до 27 февраля 2025 года, поскольку уязвимость уже активно эксплуатируется злоумышленниками.
Технические детали уязвимости CVE-2024-21413
Уязвимость, обнаруженная специалистами Check Point, затрагивает широкий спектр продуктов Microsoft, включая Office LTSC 2021, Microsoft 365 Apps for Enterprise, Outlook 2016 и Office 2019. Особую опасность представляет возможность удаленного выполнения вредоносного кода при простом открытии электронных писем, содержащих специально сформированные ссылки.
Механизм эксплуатации Moniker Link
Исследователи Check Point присвоили уязвимости название Moniker Link. Эксплуатация происходит путем обхода защитного механизма Protected View, который обычно блокирует вредоносное содержимое в файлах Office. Злоумышленники могут обойти защиту, добавляя восклицательный знак после расширения документа в URL-ссылке, указывающей на вредоносный сервер.
Пример вредоносной ссылки
Техника атаки реализуется через специально сформированные URL-ссылки формата file:///\\server\path\file.rtf!arbitrary_text. При этом система не выдает никаких предупреждений, что делает атаку особенно опасной для конечных пользователей.
Риски и последствия
Успешная эксплуатация уязвимости может привести к серьезным последствиям для безопасности организации, включая:
— Кражу учетных данных NTLM
— Выполнение произвольного кода
— Компрометацию корпоративных систем
В связи с включением уязвимости в каталог Known Exploited Vulnerabilities (KEV) и подтвержденными случаями её активной эксплуатации, CISA настоятельно рекомендует всем организациям провести срочное обновление затронутых систем. Особое внимание следует уделить защите панели предварительного просмотра, поскольку даже она может стать вектором успешной атаки.
