A CISA alertou as agências federais dos EUA na quinta-feira para protegerem seus sistemas contra ataques em andamento, que visam uma vulnerabilidade crítica de execução de código remoto (RCE) no Microsoft Outlook.
Descoberto pelo pesquisador de vulnerabilidades da Check Point, Haifei Li, e rastreado como
CVE-2024-21413
, o defeito é causado por uma validação inadequada de entrada ao abrir e-mails com links maliciosos usando versões vulneráveis do Outlook.
Os atacantes obtêm capacidades de execução de código remoto porque a falha permite que eles contornem a Visualização Protegida (que deveria bloquear conteúdo prejudicial embutido nos arquivos do Office, abrindo-os em modo somente leitura) e abram arquivos do Office maliciosos em modo de edição.
Quando corrigiu o
CVE-2024-21413
há um ano, a Microsoft também alertou que o Painel de Visualização é um vetor de ataque, permitindo a exploração bem-sucedida mesmo ao visualizar documentos do Office elaborados de forma maliciosa.
Conforme explicado pela Check Point, essa falha de segurança (apelidada de Moniker Link) permite que atores de ameaças contornem as proteções internas do Outlook para links maliciosos embutidos em e-mails usando o protocolo file:// e adicionando um ponto de exclamação às URLs que apontam para servidores controlados pelo atacante.
O ponto de exclamação é adicionado logo após a extensão do arquivo, junto com texto aleatório (em seu exemplo, a Check Point usou "algo"), conforme mostrado abaixo:
CVE-2024-21413
afeta vários produtos do Office, incluindo Microsoft Office LTSC 2021, Microsoft 365 Apps para Empresas, Microsoft Outlook 2016 e Microsoft Office 2019, e ataques bem-sucedidos ao
CVE-2024-21413
podem resultar no roubo de credenciais NTLM e na execução de código arbitrário por meio de documentos do Office criados de forma maliciosa.
Na quinta-feira, a CISA adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), marcando-a como ativamente explorada.
Conforme mandato pela Diretiva Operacional Vinculativa (BOD) 22-01, as agências federais devem proteger suas redes dentro de três semanas até 27 de fevereiro.
"Esse tipo de vulnerabilidade são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal", alertou a agência de cibersegurança.
Embora a CISA se concentre principalmente em alertar as agências federais sobre vulnerabilidades que devem ser corrigidas o quanto antes, organizações privadas também são aconselhadas a priorizar a correção dessas falhas para bloquear ataques em andamento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...