Novo bug crítico de RCE do Microsoft Outlook é trivial de explorar
15 de Fevereiro de 2024

Atualização em 14 de fevereiro, 16:50 EST: Artigo e título revisados após a Microsoft retratar a atualização de "exploração ativa" adicionada ao aviso CVE-2024-21413 .

A Microsoft diz que atacantes remotos não autenticados podem explorar trivialmente uma vulnerabilidade crítica de segurança do Outlook que também permite que eles ignorem a Visualização Protegida do Office.

Descoberto pelo pesquisador de vulnerabilidades Check Point Haifei Li e rastreado como CVE-2024-21413 , este bug leva à execução remota de código (RCE) ao abrir e-mails com links maliciosos usando uma versão vulnerável do Microsoft Outlook.

Isso acontece porque a falha também permite que os atacantes passem pela Visualização Protegida (projetada para bloquear conteúdo prejudicial incorporado em arquivos do Office, abrindo-os em modo somente leitura) e abram arquivos maliciosos do Office no modo de edição.

Redmond também alertou que o Painel de Visualização é um vetor de ataque para essa falha de segurança, permitindo a exploração bem-sucedida mesmo ao visualizar documentos do Office criados maliciosamente.

Atacantes não autenticados podem explorar o CVE-2024-21413 remotamente em ataques de baixa complexidade que não requerem interação do usuário.

"Um invasor que explorasse com sucesso essa vulnerabilidade poderia ganhar altos privilégios, que incluem ler, escrever e deletar funcionalidades," Microsoft explica.

"Um atacante poderia criar um link malicioso que contorna o Protocolo de Visualização Protegida, o que leva ao vazamento de informações de credenciais NTLM locais e execução remota de código (RCE)."

O CVE-2024-21413 afeta vários produtos do Office, incluindo o Microsoft Office LTSC 2021 e o Microsoft 365 Apps para Empresas, além do Microsoft Outlook 2016 e o Microsoft Office 2019 (em suporte estendido).

Conforme explicado pelo Check Point em um relatório publicado hoje, a vulnerabilidade que eles apelidaram de Moniker Link permite que os atacantes ignorem proteções internas do Outlook para links maliciosos incorporados em e-mails usando o protocolo file:// e adicionando um ponto de exclamação às URLs que apontam para servidores controlados pelo atacante.

O ponto de exclamação é adicionado logo após a extensão do documento, junto com algum texto aleatório (em seu exemplo, Check Point usou "something"), como mostrado abaixo:

Esse tipo de hyperlink ignora a restrição de segurança do Outlook, e o Outlook acessará o recurso remoto "\\10.10.111.111\test\test.rtf" quando o link for clicado sem gerar alertas ou erros.

A falha foi introduzida por causa da API insegura MkParseDisplayName, portanto, a vulnerabilidade também pode afetar outros softwares que a utilizam.

O impacto de ataques que exploram com sucesso o CVE-2024-21413 inclui roubo de informações de credenciais NTLM, execução de código arbitrário por meio de documentos de Office criados maliciosamente,

"Confirmamos este bug/vetor de ataque #MonikerLink nas últimas versões do Windows 10/11 + Microsoft 365 (Office 2021)", disse o Check Point.

"Outras edições/versões do Office provavelmente também são afetadas.

Na verdade, acreditamos que esse é um problema negligenciado que existia no ecossistema Windows/COM há décadas, pois está no cerne das APIs COM.

Recomendamos fortemente que todos os usuários do Outlook apliquem o patch oficial o mais rápido possível."

A Microsoft atualizou o aviso de segurança do CVE-2024-21413 hoje para alertar que esse bug do Outlook também estava sendo explorado em ataques como um zero-day antes da Patch Tuesday deste mês.

No entanto, a empresa reverteu a mudança, dizendo que "atualizou erroneamente a bandeira explorada e a avaliação de explorabilidade para indicar que a exploração existia."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...