-
09/04/2020
-
94
-
676 bài viết
Cảnh báo nghiêm trọng: Lỗ hổng RCE điểm 9,8 trong Microsoft Outlook
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cảnh báo về lỗ hổng thực thi mã từ xa (RCE) trong Microsoft Outlook có mã định danh CVE-2024-21413 bắt nguồn từ việc kiểm tra đầu vào không hợp lệ khi mở email có chứa liên kết độc hại trong các phiên bản Outlook cũ.
CVE-2024-21413 được đánh giá với điểm CVSS 3.1 là 9.8. Kẻ tấn công có thể thực thi mã từ xa do lỗ hổng này cho phép chúng bỏ qua Chế độ Bảo vệ (Protected View), vốn có chức năng chặn nội dung độc hại nhúng trong tệp Office bằng cách mở chúng ở chế độ chỉ đọc (read-only mode). Thay vào đó, tệp Office độc hại sẽ được mở ở chế độ chỉnh sửa.
Khi vá lỗ hổng CVE-2024-21413 cách đây một năm, Microsoft cũng cảnh báo Ngăn Xem Trước (Preview Pane) có thể là một vector tấn công, cho phép kẻ tấn công khai thác lỗ hổng ngay cả khi chỉ xem trước các tài liệu Office độc hại.
Theo giải thích của Check Point, lỗ hổng này (được đặt tên là Moniker Link) cho phép kẻ tấn công bỏ qua các cơ chế bảo vệ tích hợp của Outlook đối với các liên kết độc hại được nhúng trong email bằng cách sử dụng giao thức file:// và thêm dấu chấm than vào URL trỏ đến máy chủ do kẻ tấn công kiểm soát.
Dấu chấm than được thêm ngay sau phần mở rộng của tệp, kèm theo một đoạn văn bản ngẫu nhiên (trong ví dụ của Check Point, họ sử dụng từ "something"), như minh họa dưới đây:
Lỗ hổng ảnh hưởng đến nhiều sản phẩm Office, bao gồm:
CVE-2024-21413 được đánh giá với điểm CVSS 3.1 là 9.8. Kẻ tấn công có thể thực thi mã từ xa do lỗ hổng này cho phép chúng bỏ qua Chế độ Bảo vệ (Protected View), vốn có chức năng chặn nội dung độc hại nhúng trong tệp Office bằng cách mở chúng ở chế độ chỉ đọc (read-only mode). Thay vào đó, tệp Office độc hại sẽ được mở ở chế độ chỉnh sửa.
Khi vá lỗ hổng CVE-2024-21413 cách đây một năm, Microsoft cũng cảnh báo Ngăn Xem Trước (Preview Pane) có thể là một vector tấn công, cho phép kẻ tấn công khai thác lỗ hổng ngay cả khi chỉ xem trước các tài liệu Office độc hại.
Theo giải thích của Check Point, lỗ hổng này (được đặt tên là Moniker Link) cho phép kẻ tấn công bỏ qua các cơ chế bảo vệ tích hợp của Outlook đối với các liên kết độc hại được nhúng trong email bằng cách sử dụng giao thức file:// và thêm dấu chấm than vào URL trỏ đến máy chủ do kẻ tấn công kiểm soát.
Dấu chấm than được thêm ngay sau phần mở rộng của tệp, kèm theo một đoạn văn bản ngẫu nhiên (trong ví dụ của Check Point, họ sử dụng từ "something"), như minh họa dưới đây:
Lỗ hổng ảnh hưởng đến nhiều sản phẩm Office, bao gồm:
- Microsoft Office LTSC 2021
- Microsoft 365 Apps for Enterprise
- Microsoft Outlook 2016
- Microsoft Office 2019
Theo Bleeping Computer