Cybermalveillance.gouv.fr 是一个旨在为面临数字威胁的个人、企业和机构提供帮助和建议的政府平台,该政府平台正在敲响警报:微软Outlook。该网站刚刚触发了有关消息传递中的严重安全漏洞的“网络警报”。
这种类型的警报大约在三年前实施,当发现重大安全漏洞时向公司发出警告。该网站很少发出安全漏洞警报。这也是自 2021 年夏季(该工具创建之日)以来第十一次发布“网络警报”。
该漏洞被称为 CVE-2024-21413,可允许“对易受攻击的系统进行大规模攻击”,Cybermalveillance.gouv.fr 说。由于该缺陷,网络犯罪分子可以远程控制计算机公司窃取数据甚至销毁信息。
严重缺陷和恶意链接
只有 Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021 和 Microsoft 365 应用版受到该警告的影响。正如微软所言,Web 版 Outlook 并未受到该严重漏洞的影响。根据美国公司的新闻稿,该缺陷允许黑客绕过安全措施包含在 Office 套件中,特别是那些在未经管理员明确同意的情况下阻止访问外部工具的工具。设置起来并不是很复杂,攻击不需要任何特殊权限。
“成功利用此漏洞将允许攻击者绕过 Office 的保护模式并以编辑模式而不是保护模式打开它”,微软在其网站上总结道。
为了利用这一严重缺陷,网络犯罪分子可以部署“恶意链接”能够绕过Office保护模式。我们想象这个链接可以通过电子邮件共享,例如作为网络钓鱼操作的一部分。简而言之,目标只需点击链接,无意中插入电子邮件,或将其显示在预览面板中,网络攻击就可以开始。
“成功利用此漏洞的攻击者可以获得提升的权限,包括读取、写入和删除”,与 en garde Microsoft 合作。
安装最新的 Outlook 更新
幸运的是,微软已经部署修复为了保护2024年2月14日的用户。为了保护自己免受黑客攻击,建议尽快安装更新。据 Cybermalveillance.gouv.fr 报道,“网络犯罪分子很快就会利用此漏洞”。
来源 : 网络恶意攻击.gouv.fr
