Microsoft: Nuevo error crítico de Outlook RCE explotado como día cero

AXCESS · Febrero 14, 2024, 07:05:35 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft actualizó hoy un aviso de seguridad para advertir que un error crítico de Outlook fue explotado en ataques de día cero antes de ser solucionado durante el martes de parches de este mes.

Descubierta por el investigador de vulnerabilidades de Check Point, Haifei Li, y rastreada como CVE-2024-21413, esta vulnerabilidad conduce a la ejecución remota de código (RCE) al abrir correos electrónicos con enlaces maliciosos utilizando una versión vulnerable de Microsoft Outlook.

Esto sucede porque la falla también permite a los atacantes eludir la Vista protegida (diseñada para bloquear contenido dañino incrustado en archivos de Office abriéndolos en modo de solo lectura) y abrir archivos de Office maliciosos en modo de edición.

Redmond también advirtió que el Panel de vista previa es un vector de ataque para esta falla de seguridad, lo que permite una explotación exitosa incluso al obtener una vista previa de documentos de Office creados con fines malintencionados.

Los atacantes no autenticados pueden explotar CVE-2024-21413 de forma remota en ataques de baja complejidad que no requieren la interacción del usuario.

"Un atacante que explotara con éxito esta vulnerabilidad podría obtener altos privilegios, que incluyen funciones de lectura, escritura y eliminación", explica Microsoft.

"Un atacante podría crear un enlace malicioso que eluda el Protocolo de Vista Protegida, lo que conduce a la filtración de información de credenciales NTLM locales y la ejecución remota de código (RCE)".

CVE-2024-21413 afecta a varios productos de Office, incluidos Microsoft Office LTSC 2021 y Microsoft 365 Apps for Enterprise, así como Microsoft Outlook 2016 y Microsoft Office 2019 (bajo soporte extendido).

Signo de exclamación para evitar las protecciones de Outlook

Como lo explica Check Point en un informe publicado, la vulnerabilidad que denominaron Moniker Link permite a los atacantes eludir las protecciones integradas de Outlook para enlaces maliciosos incrustados en correos electrónicos utilizando el protocolo file:// y agregando un signo de exclamación a las URL que apuntan a los servidores controlados por el atacante.

El signo de exclamación se agrega justo después de la extensión del documento, junto con texto aleatorio (en su ejemplo, Check Point usó "algo"), como se muestra a continuación:

*<a href="No tienes permitido ver los links. Registrarse o Entrar a mi cuenta!algo">HAGA CLIC EN MÍ</a>*

Este tipo de hipervínculo evita las restricciones de seguridad de Outlook, y Outlook accederá al recurso remoto "\\10.10.111.111\test\test.rtf" cuando se haga clic en el enlace sin generar advertencias ni errores.

La falla se introdujo debido a la API no segura MkParseDisplayName, por lo que la vulnerabilidad también puede afectar a otro software que la utilice.

El impacto de los ataques que explotan con éxito CVE-2024-21413 incluye el robo de información de credenciales NTLM, la ejecución de código arbitrario a través de documentos de Office creados con fines malintencionados,

"Hemos confirmado este vector de error/ataque #MonikerLink en los últimos entornos Windows 10/11 + Microsoft 365 (Office 2021)", dijo Check Point.

"Es probable que otras ediciones/versiones de Office también se vean afectadas. De hecho, creemos que este es un problema pasado por alto que existió en el ecosistema Windows/COM durante décadas, ya que se encuentra en el núcleo de las API COM. Recomendamos encarecidamente a todos los usuarios de Outlook aplique el parche oficial lo antes posible."

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft: Nuevo error crítico de Outlook RCE explotado como día cero

AXCESS

Febrero 14, 2024, 07:05:35 PM Ultima modificación: Febrero 14, 2024, 07:10:27 PM por AXCESS