Atualização em 14 de fevereiro, 16:50 EST: Artigo e título revisados após a Microsoft retratar a atualização de "exploração ativa" adicionada ao aviso
CVE-2024-21413
.
A Microsoft diz que atacantes remotos não autenticados podem explorar trivialmente uma vulnerabilidade crítica de segurança do Outlook que também permite que eles ignorem a Visualização Protegida do Office.
Descoberto pelo pesquisador de vulnerabilidades Check Point Haifei Li e rastreado como
CVE-2024-21413
, este bug leva à execução remota de código (RCE) ao abrir e-mails com links maliciosos usando uma versão vulnerável do Microsoft Outlook.
Isso acontece porque a falha também permite que os atacantes passem pela Visualização Protegida (projetada para bloquear conteúdo prejudicial incorporado em arquivos do Office, abrindo-os em modo somente leitura) e abram arquivos maliciosos do Office no modo de edição.
Redmond também alertou que o Painel de Visualização é um vetor de ataque para essa falha de segurança, permitindo a exploração bem-sucedida mesmo ao visualizar documentos do Office criados maliciosamente.
Atacantes não autenticados podem explorar o
CVE-2024-21413
remotamente em ataques de baixa complexidade que não requerem interação do usuário.
"Um invasor que explorasse com sucesso essa vulnerabilidade poderia ganhar altos privilégios, que incluem ler, escrever e deletar funcionalidades," Microsoft explica.
"Um atacante poderia criar um link malicioso que contorna o Protocolo de Visualização Protegida, o que leva ao vazamento de informações de credenciais NTLM locais e execução remota de código (RCE)."
O
CVE-2024-21413
afeta vários produtos do Office, incluindo o Microsoft Office LTSC 2021 e o Microsoft 365 Apps para Empresas, além do Microsoft Outlook 2016 e o Microsoft Office 2019 (em suporte estendido).
Conforme explicado pelo Check Point em um relatório publicado hoje, a vulnerabilidade que eles apelidaram de Moniker Link permite que os atacantes ignorem proteções internas do Outlook para links maliciosos incorporados em e-mails usando o protocolo file:// e adicionando um ponto de exclamação às URLs que apontam para servidores controlados pelo atacante.
O ponto de exclamação é adicionado logo após a extensão do documento, junto com algum texto aleatório (em seu exemplo, Check Point usou "something"), como mostrado abaixo:
Esse tipo de hyperlink ignora a restrição de segurança do Outlook, e o Outlook acessará o recurso remoto "\\10.10.111.111\test\test.rtf" quando o link for clicado sem gerar alertas ou erros.
A falha foi introduzida por causa da API insegura MkParseDisplayName, portanto, a vulnerabilidade também pode afetar outros softwares que a utilizam.
O impacto de ataques que exploram com sucesso o
CVE-2024-21413
inclui roubo de informações de credenciais NTLM, execução de código arbitrário por meio de documentos de Office criados maliciosamente,
"Confirmamos este bug/vetor de ataque #MonikerLink nas últimas versões do Windows 10/11 + Microsoft 365 (Office 2021)", disse o Check Point.
"Outras edições/versões do Office provavelmente também são afetadas.
Na verdade, acreditamos que esse é um problema negligenciado que existia no ecossistema Windows/COM há décadas, pois está no cerne das APIs COM.
Recomendamos fortemente que todos os usuários do Outlook apliquem o patch oficial o mais rápido possível."
A Microsoft atualizou o aviso de segurança do
CVE-2024-21413
hoje para alertar que esse bug do Outlook também estava sendo explorado em ataques como um zero-day antes da Patch Tuesday deste mês.
No entanto, a empresa reverteu a mudança, dizendo que "atualizou erroneamente a bandeira explorada e a avaliação de explorabilidade para indicar que a exploração existia."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...