美国网络安全和基础设施安全局(CISA)于本周四正式发布了一项紧急安全公告,针对微软Outlook存在CVE-2024-21413追踪编号的高危远程代码执行漏洞。CISA强调,此类漏洞是恶意网络行为者常用的攻击手段之一,要求所有美国联邦机构务必在2月27日之前为其系统部署相应的补丁措施。CISA在公告中明确指出,已有确凿证据表明,部分黑客组织已经开始利用该漏洞对目标系统发起攻击。鉴于该漏洞的严重性和紧迫性,CISA已将其添加到其已知被利用漏洞目录中,并将其标记为正在被积极利用。
据悉,攻击者通过一种被称为“Moniker Link”的安全方式,巧妙地绕过了Outlook内置的恶意链接保护机制。攻击者会在电子邮件中嵌入经过特殊构造的链接,这些链接使用了file://协议,并且在指向攻击者所控制服务器的URL中添加了感叹号和随机文本(例如"!something")。一旦用户点击这些链接,攻击者便能绕过正常的保护视图,以编辑模式打开恶意的Office文件,进而获得远程代码执行的能力。
值得注意的是,CVE-2024-21413漏洞的影响范围相当广泛,涵盖了包括Microsoft Office LTSC 2021、Microsoft 365 Apps for Enterprise、Microsoft Outlook 2016以及Microsoft Office 2019在内的多个Office产品。一旦黑客成功利用这一漏洞,他们不仅能够窃取用户的NTLM凭据,还能通过精心制作的Office文档执行任意代码,对用户的系统安全构成严重威胁。
