首頁 > 安全研究 > 安全通報 > 安全事件響應

Outlook高危遠程代碼執行漏洞,啟明星辰提供解決方案

發布時間 2024-02-23
Microsoft Office Outlook是微軟開發的辦公軟件套裝中的一個組件,主要功能是收發電子郵件,同時具有管理聯系人信息、安排日程、分配任務等功能。


漏洞詳情


近日,啟明星辰金睛安全研究團隊監測到微軟二月份安全補丁中一個CVSS評分為9.8的漏洞(Microsoft Outlook遠程代碼執行漏洞CVE-2024-21413)POC被公開。
經過研究確認,該漏洞繞過了Outlook中的安全限制,導致攻擊者只需發送一個釣魚郵件,即可在受害者無需任何交互的情況下泄露其NTLM身份憑據信息。通過進一步的破解或者NTLM relay攻擊,即可偽造受害者身份進行認證,從而獲取對應權限。同時該漏洞在和任意COM漏洞結合使用(如CVE-2022-30190)的時候,攻擊者只需誘導受害者點擊鏈接,即可在用戶電腦上執行任意代碼。
該漏洞利用難度較低,與去年被APT28組織頻繁利用的Microsoft Outlook 權限提升漏洞(CVE-2023-23397)的攻擊場景類似,后續被利用的可能性較高。目前官方已發布安全更新,建議客戶積極做好排查和防護。



影響版本


Microsoft Office LTSC 2021 for 32-bit/64-bit editions

Microsoft Office 2019 for 32-bit/64-bit editions

Microsoft Office 2016 (32-bit/64-bit edition)

Microsoft 365 Apps for Enterprise for 32-bit/64-bit System


漏洞復現


目前已成功復現兩種攻擊場景。


1、NTLM泄露



2、結合其他漏洞觸發RCE



解決方案


1、官方修復方案

官方已發布安全更新,建議將受影響的office升級至最新版本:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413,并且在升級之前不要輕易點擊郵件中的鏈接或附件。


2、啟明星辰解決方案


天闐入侵檢測與管理系統、天闐超融合檢測探針(CSP)、天闐威脅分析一體機(TAR)、天清入侵防御系統(IPS)可有效防護CVE-2024-21413漏洞造成的攻擊風險。此外,天闐威脅分析一體機(TAR)內置沙箱檢測功能,升級到最新補丁可有效檢測利用該漏洞的惡意郵件。



上一篇 下一篇