Агентство з кібербезпеки та захисту інфраструктури США (CISA) оприлюднило термінове попередження щодо критичної вразливості в Microsoft Outlook. Виявлена загроза, що отримала ідентифікатор CVE-2024-21413, активно використовується зловмисниками та потребує невідкладного усунення до 27 лютого 2025 року.
Технічний аналіз вразливості Moniker Link
Дослідники компанії Check Point виявили серйозну вразливість, що зачіпає широкий спектр продуктів Microsoft, включаючи Office LTSC 2021, Microsoft 365 Apps for Enterprise та попередні версії. Особливу небезпеку становить можливість виконання шкідливого коду при простому відкритті електронних листів із спеціально сформованими посиланнями, навіть без активної взаємодії користувача.
Механізм експлуатації та технічні особливості
Вразливість, названа Moniker Link, використовує унікальний метод обходу захисного механізму Protected View. Зловмисники можуть подолати стандартні засоби захисту Microsoft Office, додаючи знак оклику після розширення документа в URL-посиланні. Атака реалізується через спеціально сформовані посилання формату file:///\\server\path\file.rtf!arbitrary_text, що не викликають системних попереджень.
Потенційні наслідки та загрози безпеці
Успішна експлуатація вразливості може призвести до:
– Компрометації облікових даних через викрадення хешів NTLM
– Несанкціонованого виконання довільного коду на цільовій системі
– Повного доступу до корпоративної інфраструктури
Рекомендації щодо захисту
Для мінімізації ризиків рекомендується:
– Негайно встановити останні оновлення безпеки Microsoft
– Відключити попередній перегляд повідомлень в Outlook
– Впровадити додаткові засоби захисту електронної пошти
– Провести навчання персоналу щодо виявлення підозрілих посилань
Враховуючи активну експлуатацію вразливості та її включення до каталогу Known Exploited Vulnerabilities (KEV), організаціям необхідно терміново оновити вразливі системи та посилити моніторинг підозрілої активності. Особливу увагу слід приділити налаштуванням безпеки панелі попереднього перегляду, оскільки навіть пасивний перегляд повідомлень може призвести до компрометації системи.
