01 漏洞概况
微步漏洞团队于近日检测到微软发布了二月份补丁,披露数个安全漏洞,其中包括Outlook远程代码执行漏洞(CVE-2024-21413)。该漏洞有两种利用场景:
无需用户交互
在该场景下,成功利用该漏洞可以造成受害者的NTLM哈希泄露,结合NTLM Relay或爆破等攻击方式可以达到RCE的效果。
需要用户交互
在该场景下,利用该漏洞可与任意COM组件的漏洞结合起来达到RCE的效果,例如Word的RTF解析漏洞。
微步漏洞团队在对历史在野利用数据进行分析后,发现与本漏洞类似的Microsoft Outlook 特权提升漏洞(CVE-2023-23397)已被APT28组织大范围利用。
相关IOC:
https://www.trendmicro.com/content/dam/trendmicro/global/en/research/23/l/pawn-storm-uses-brute-force-and-stealth-against-high-value-targets-/iocs-pawn-storm-uses-brute-force-and-stealth-against-high-value-targets.txt
综上所述,该漏洞利用难度低,危害大,极有可能(或已经)被攻击者利用。
02 漏洞处置优先级(VPT)
综合处置优先级:高
|
漏洞编号 |
微步编号 |
XVE-2024-2628 |
| 漏洞评估 | 危害评级 | 高危 |
| 漏洞类型 | RCE | |
| 公开程度 | PoC已公开 | |
| 利用条件 |
无权限要求 | |
| 交互要求 | 0-click/1-click | |
| 威胁类型 | 远程 | |
| 利用情报 | 微步已捕获攻击行为 | 暂无 |
03 漏洞影响范围
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
03 漏洞影响范围
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
03 漏洞影响范围
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
03 漏洞影响范围
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
03 漏洞影响范围
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
03 漏洞影响范围
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
03 漏洞影响范围
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
产品名称
Microsoft Outlook
受影响版本
Microsoft Office 2016(32-bit/64-bit Edition)
Microsoft Office LTSC 2021(32-bit/64-bit Edition)
Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)
Microsoft Office 2019(32-bit/64-bit Edition)
影响范围
百万级
有无修复补丁
有
|
产品名称 |
Microsoft Outlook |
|
|
受影响版本 |
Microsoft Office 2016(32-bit/64-bit Edition) Microsoft Office LTSC 2021(32-bit/64-bit Edition) Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition) Microsoft Office 2019(32-bit/64-bit Edition) |
|
|
影响范围 |
|
|
|
有无修复补丁 |
有 | |
04 漏洞复现
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
05 修复方案
1、官方修复方案:
微软已发布更新补丁,请根据使用版本进行升级
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
2、临时修复方案:
1) 使用终端防护设备对终端进行防护
2) 提升个人安全意识,不要轻易点击陌生邮件中的附件或链接
06 微步产品侧支持情况
1)微步在线威胁感知平台TDP已支持检测
XVE-2023-37874 规则ID为 S3100138972、S3100138975
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
07 时间线
2024.02.14 厂商发布补丁
2024.02.22 微步发布报告
---End---
04 漏洞复现
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
05 修复方案
1、官方修复方案:
微软已发布更新补丁,请根据使用版本进行升级
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
2、临时修复方案:
1) 使用终端防护设备对终端进行防护
2) 提升个人安全意识,不要轻易点击陌生邮件中的附件或链接
06 微步产品侧支持情况
1)微步在线威胁感知平台TDP已支持检测
XVE-2023-37874 规则ID为 S3100138972、S3100138975
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
07 时间线
2024.02.14 厂商发布补丁
2024.02.22 微步发布报告
---End---
04 漏洞复现
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
04 漏洞复现
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
04 漏洞复现
05 修复方案
1、官方修复方案:
微软已发布更新补丁,请根据使用版本进行升级
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
2、临时修复方案:
1) 使用终端防护设备对终端进行防护
2) 提升个人安全意识,不要轻易点击陌生邮件中的附件或链接
05 修复方案
1、官方修复方案:
微软已发布更新补丁,请根据使用版本进行升级
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
2、临时修复方案:
1) 使用终端防护设备对终端进行防护
2) 提升个人安全意识,不要轻易点击陌生邮件中的附件或链接
05 修复方案
微软已发布更新补丁,请根据使用版本进行升级
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
2) 提升个人安全意识,不要轻易点击陌生邮件中的附件或链接
06 微步产品侧支持情况
1)微步在线威胁感知平台TDP已支持检测
XVE-2023-37874 规则ID为 S3100138972、S3100138975
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
07 时间线
2024.02.14 厂商发布补丁
2024.02.22 微步发布报告
06 微步产品侧支持情况
1)微步在线威胁感知平台TDP已支持检测
XVE-2023-37874 规则ID为 S3100138972、S3100138975
![极有可能被黑客利用,Outlook远程代码执行漏洞]( "极有可能被黑客利用,Outlook远程代码执行漏洞")
07 时间线
2024.02.14 厂商发布补丁
2024.02.22 微步发布报告
06 微步产品侧支持情况
06 微步产品侧支持情况
XVE-2023-37874 规则ID为 S3100138972、S3100138975
07 时间线
2024.02.14 厂商发布补丁
2024.02.22 微步发布报告
07 时间线
2024.02.14 厂商发布补丁
2024.02.22 微步发布报告
07 时间线
2024.02.22 微步发布报告
---End---
---End---
---End---
---End---
---End---
---End---
---End---
---End---
原文始发于微信公众号(微步在线研究响应中心):极有可能被黑客利用,Outlook远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论