Компания Microsoft предупреждает пользователей о критической уязвимости в своём офисном пакете, которая позволяет неаутентифицированным злоумышленникам выполнять вредоносный код.
Уязвимость, обнаруженнаякомпанией Check Point, получила обозначение CVE-2024-21413 . Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook.
Особенно опасен тот факт, что ошибка позволяет хакерам обходить функцию “Защищённый просмотр” (Protected View), предназначенную для блокировки вредоносного содержимого в файлах Office. Вместо того, чтобы открывать опасные файлы в режиме только для чтения, они запускаются сразу в режиме редактирования.
По заявлениям компании, атаки с использованием CVE-2024-21413 могут проводиться удалённо, без взаимодействия с пользователем, а сложность проведения таких атак для хакеров остаётся на низком уровне.
“Успешная эксплуатация этой уязвимости может предоставить атакующему высокие привилегии, включая возможности чтения, записи и удаления файлов” – говорится в сообщении Microsoft.
Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019 (находящиеся в расширенной поддержке).
Check Point в своём отчёте объясняет, что уязвимость, которую они назвали “Moniker Link”, позволяет обходить встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма, используя протокол file://, обращаясь через него к удалённому серверу злоумышленников.
Добавление восклицательного знака сразу после расширения документа позволяет обойти ограничения безопасности Outlook. В этом случае при нажатии на ссылку приложение будет обращаться к удалённому ресурсу и открывать целевой файл без вывода предупреждений или ошибок.
Уязвимость появилась из-за использования небезопасного API MkParseDisplayName, что может повлиять и на другое программное обеспечение, использующее его.
В результате успешной эксплуатации уязвимости CVE-2024-21413 возможна кража информации учётных данных NTLM и выполнение произвольного кода с помощью злонамеренно созданных документов Office.
Check Point рекомендует всем пользователям Outlook как можно скорее применить официальное обновление безопасности, которое, к счастью, уже доступно.