CISA a avertizat agențiile federale americane joi să-și securizeze sistemele împotriva atacurilor în curs care vizează o vulnerabilitate critică de execuție de cod la distanță (RCE) în Microsoft Outlook.
Descoperită de cercetătorul de vulnerabilități Check Point Haifei Li și urmărită sub numele de CVE-2024-21413, defectul este cauzat de validarea incorectă a intrării la deschiderea emailurilor cu linkuri malitioase folosind versiuni vulnerabile de Outlook.
Atacatorii obțin capacități de execuție de cod la distanță deoarece defectul îi lasă să ocolească Modul Protejat (care ar trebui să blocheze conținutul dăunător încorporat în fișierele Office prin deschiderea lor în modul doar-citire) și să deschidă fișiere Office malitioase în modul de editare.
Când a remediat CVE-2024-21413 acum un an, Microsoft a avertizat și că Panoul de Previzualizare este un vector de atac, permițând exploatarea cu succes chiar și atunci când se previzionează documente Office create cu malitiozitate.
După cum a explicat Check Point, această vulnerabilitate de securitate (denumită Moniker Link) permite actorilor de amenințare să ocolească protecțiile încorporate în Outlook pentru linkurile malitioase încorporate în emailuri folosind protocolul file:// și adăugând un semn de exclamare la adresele URL care se îndreaptă către serverele controlate de atacatori.
Semnul de exclamare este adăugat imediat după extensia fișierului, împreună cu text aleatoriu (în exemplul lor, Check Point a folosit „ceva”), așa cum se arată mai jos:
CVE-2024-21413 afectează mai multe produse Office, inclusiv Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 și Microsoft Office 2019, iar atacurile reușite CVE-2024-21413 pot duce la furtul de acreditări NTLM și la executarea de cod arbitrar prin documente Office create malitioz.
Joi, CISA a adăugat vulnerabilitatea la catalogul său de Vulnerabilități Exploatate Cunoscute (KEV), marcând-o ca fiind exploatată activ. Conform Directivei Operaționale de Legătură (BOD) 22-01, agențiile federale trebuie să-și securizeze rețelele în termen de trei săptămâni până pe 27 februarie.
„Aceste tipuri de vulnerabilități sunt vectori de atac frecvenți pentru actorii cibernetici dăunători și prezintă riscuri semnificative pentru întreprinderea federală,” a avertizat agenția de securitate cibernetică.
Deși CISA se concentrează în principal pe alertarea agențiilor federale cu privire la vulnerabilitățile care ar trebui remediate cât mai curând posibil, organizațiile private sunt, de asemenea, sfătuite să-și acorde prioritate remedierii acestor defecte pentru a bloca atacurile în curs.
Leave a Reply