近日,针对微软Outlook中一处被称为“MonikerLink”的严重远程代码执行漏洞(CVE-2024-21413),安全研究人员已公开概念验证(PoC)利用代码。该漏洞CVSS评分高达9.8,允许攻击者完全绕过Outlook的“受保护的视图”等安全机制,在用户无额外交互的情况下实现代码执行或凭证窃取。
漏洞根源在于Outlook解析特定“Moniker链接”时的缺陷。正常情况下,Outlook会对来自互联网的潜在危险文件启用“受保护的视图”,以只读模式打开。然而,通过构造包含`file://`协议后接感叹号及特定文本的特殊链接,攻击者可成功绕过该防护。当受害者点击此类恶意链接时,Outlook将在不发出常规安全警告的情况下尝试访问资源,进而可能触发向攻击者控制服务器的SMB连接,导致受害者的本地NTLM凭证泄露。在更严重的攻击场景中,此漏洞可直接导致远程代码执行,使攻击者获得对目标系统的控制权。
目前,一款基于Python的PoC代码已在GitHub发布,用于在受控实验室环境中演示攻击过程。该脚本模拟了向受害者发送包含Moniker链接的恶意邮件的完整流程。研究人员强调,该PoC主要为教育目的而编写,适用于特定测试环境(如TryHackMe平台上的相关练习场景),但也同时指出,更高级的攻击工具可能已在其他渠道出现。
微软已发布官方更新修复此漏洞,建议所有用户立即安装补丁。同时,安全研究人员已提供YARA检测规则,可用于监控邮件流量中是否存在`file:\\`等恶意特征,帮助企业在邮件抵达用户前进行拦截。此外,企业应考虑在防火墙阻断出站SMB流量(端口445),以防NTLM凭证外泄至外部服务器。
随着PoC的公开,该漏洞被恶意利用的风险显著增加。安全团队应尽快排查并更新所有微软Office安装,同时加强网络监控,防范潜在攻击。
资讯来源:cybersecuritynews
转载请注明出处和本文链接
﹀
球分享
球点赞
球在看