Outlookは、特定のハイパーリンクを処理する方法に影響を与えるセキュリティ上の欠陥を特定しました。
マルウェアアクターは、実際の攻撃でこの脆弱性を積極的に悪用しています。
この脆弱性に割り当てられたCVE番号はCVE-2024-21413で、重大度は9.8(クリティカル)です。
Microsoftは、この脆弱性を解決し、2024年2月のPatch Tuesdayリリースで修正を実施しました。
脆弱性が成功裏に悪用された場合、悪意のあるアクターはOfficeの保護ビューをバイパスし、保護モードではなく編集モードでファイルを開くことができます。
Outlook 0-Day RCE脆弱性
Checkpointのレポートによると、ハイパーリンクがhttp://またはhttps://で始まる場合、OutlookはWindowsのデフォルトブラウザを使用してURLを開きます。
追加のプロトコル、例えば「Skype」URLプロトコルのような場合、ハイパーリンクをクリックするとセキュリティ警告がトリガーされます。
しかし、「file://」プロトコルのような他のケースでは、Outlookは警告ダイアログボックスを表示しませんでした。
「file://」プロトコルリンクのわずかな変更により、以前に表示されたセキュリティ制限をバイパスし、リソースへのアクセスを進めることができます。
専門家によると、この特定のリソースの利用にはSMBプロトコルの使用が含まれます。
しかし、このプロトコルには、アクセスプロセス中に偶然にもローカルのNTLM認証情報を明らかにする欠陥があります。
ハッキングフォーラムでのエクスプロイト
The Daily Dark Webは最近、特定のハッキングフォーラムがCVE-2024-21413のエクスプロイトについて議論していると報告しました。
このエクスプロイトにより、攻撃者はNTLM情報にアクセスし、リモートコードを実行することができます。
脆弱性はOffice Protected Viewを悪用し、他のOfficeアプリケーションを攻撃する手段として使用される可能性があります。
Perimeter81のマルウェア保護を使用すると、トロイの木馬、ランサムウェア、スパイウェア、ルートキット、ワーム、ゼロデイエクスプロイトなど、すべての極めて有害なマルウェアをブロックできます。これらはすべて非常に有害で、混乱を引き起こし、ネットワークに損害を与える可能性があります。
Alleged Microsoft Outlook CVE-2024-21413 RCE Exploit is shared
— Daily Dark Web (@DailyDarkWeb) February 22, 2024
The bug not only allows the leaking of the local NTLM information, but it may also allow remote code execution and more as an attack vector. It could also bypass the Office Protected View when it’s used as an attack… pic.twitter.com/AaGqN0dIQl