吳明宜CISA警告,Microsoft Outlook漏洞CVE-2024-21413正遭網攻,攻擊者可繞過保護檢視竊取憑證並執行程式碼,建議儘速修補,企業亦應提高警覺。
美國網路安全暨基礎架構管理署 (CISA) 警告,Microsoft Outlook 一項遠端程式碼執行 (RCE) 漏洞正發生網路攻擊,應儘速修補。
編號 CVE-2024-21413 的漏洞是由 CheckPoint 研究人員發現的遠端程式碼執行洞洞,並命名為 Moniker Link 。它源自 Outlook 對來源連結驗證不足,導致用戶透過連結開啟信件時受害。
Check Point 研究人員說明,攻擊者只要在郵件中嵌入 file://protocol 為首的連結,並在 URL 加入驚嘆號,以便將來源指向攻擊者控制的伺服器,就能繞過 Micrsoft 365 內建的「受保護的檢視」功能,下載並以編輯模式開啟惡意 Office 檔案。而且用戶不必真的下載,只要以預覽視窗開啟檔案就會受害。
受影響 M365/Office 版本包括 Office LTSC 2021 、 Microsoft 365 Apps for Enterprise 、 Outlook 2016/2019 。成功的攻擊可讓攻擊者過開啟惡意 Office 檔案竊取 NTLM 憑證,以及任意程式碼執行。
微軟一年前已經修補了 CVE-2024-21413 。 CISA 在最新的政府安全指令 BOD 22-01 中將本漏洞列為已知被濫用的漏洞,要求美國政府機關應儘速安裝修補程式。
雖然 CISA 只要求美國政府單位,但一般企業也應提高警覺,儘速解決安全漏洞以阻止網路攻擊。