CISA waarschuwde Amerikaanse federale agentschappen op donderdag om hun systemen te beveiligen tegen voortdurende aanvallen gericht op een kritieke Microsoft Outlook remote code execution (RCE) kwetsbaarheid.

Ontdekt door Check Point kwetsbaarheidsonderzoeker Haifei Li en gevolgd als CVE-2024-21413, wordt de fout veroorzaakt door onjuiste inputvalidatie bij het openen van e-mails met kwaadaardige links met behulp van kwetsbare Outlook-versies.

De aanvallers verkrijgen mogelijkheden voor externe code-uitvoering omdat de fout hen in staat stelt de Beschermde Weergave (die schadelijke inhoud ingesloten in Office-bestanden zou moeten blokkeren door ze in alleen-lezen modus te openen) te omzeilen en kwaadaardige Office-bestanden in bewerkingsmodus te openen.

Toen Microsoft CVE-2024-21413 een jaar geleden herstelde, waarschuwde het ook dat het Voorbeeldvenster een aanvalsvector is, waardoor succesvolle exploitatie mogelijk is, zelfs bij het bekijken van kwaadaardig samengestelde Office-documenten.

Zoals uitgelegd door Check Point, laat dit beveiligingslek (bijgenaamd Moniker Link) dreigingsactoren ingebouwde Outlook-beschermingen omzeilen voor kwaadaardige links die in e-mails zijn ingebed met behulp van het file:// protocol en door een uitroepteken toe te voegen aan URL’s die verwijzen naar door aanvallers beheerde servers.

Het uitroepteken wordt direct na de bestandsextensie toegevoegd, samen met willekeurige tekst (in hun voorbeeld gebruikte Check Point “iets”), zoals hieronder getoond:

*KLIK OP MIJ*

CVE-2024-21413 treft meerdere Office-producten, waaronder Microsoft Office LTSC 2021, Microsoft 365 Apps voor Enterprise, Microsoft Outlook 2016 en Microsoft Office 2019, en succesvolle CVE-2024-21413 aanvallen kunnen leiden tot de diefstal van NTLM-referenties en de uitvoering van willekeurige code via kwaadaardig samengestelde Office-documenten.

Op donderdag voegde CISA de kwetsbaarheid toe aan zijn catalogus van Bekende Uitgebuite Kwetsbaarheden (KEV), waarbij het werd gemarkeerd als actief uitgebuit. Zoals vereist door de Bindende Operationele Richtlijn (BOD) 22-01, moeten federale agentschappen hun netwerken binnen drie weken beveiligen, uiterlijk op 27 februari.

“Deze soorten kwetsbaarheden zijn veelvoorkomende aanvalsvectoren voor kwaadaardige cyberactoren en vormen aanzienlijke risico’s voor de federale onderneming,” waarschuwde de cybersecurity-agency.

Hoewel CISA zich primair richt op het waarschuwen van federale agentschappen over kwetsbaarheden die zo snel mogelijk moeten worden gepatcht, wordt ook particuliere organisaties geadviseerd om deze kwetsbaarheden met prioriteit te patchen om voortdurende aanvallen te blokkeren.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----