Outlook高危远程代码执行漏洞,抖圈为赌而生提供解决方案

宣布时间 2024-02-23
Microsoft Office Outlook是微软开发的办公软件套装中的一个组件,主要功效是收发电子邮件,同时具有管理联系人信息、部署日程、分配任务等功效。


漏洞详情


近日,抖圈为赌而生金睛宁静研究团队监测到微软二月份宁静补丁中一个CVSS评分为9.8的漏洞(Microsoft Outlook远程代码执行漏洞CVE-2024-21413)POC被果然。
经过研究确认,该漏洞绕过了Outlook中的宁静限制,导致攻击者只需发送一个钓鱼邮件,即可在受害者无需任何交互的情况下泄露其NTLM身份凭据信息。通过进一步的破解或者NTLM relay攻击,即可伪造受害者身份进行认证,从而获取对应权限。同时该漏洞在和任意COM漏洞结合使用(如CVE-2022-30190)的时候,攻击者只需诱导受害者点击链接,即可在用户电脑上执行任意代码。
该漏洞利用难度较低,与去年被APT28组织频繁利用的Microsoft Outlook 权限提升漏洞(CVE-2023-23397)的攻击场景类似,后续被利用的可能性较高。目前官方已宣布宁静更新,建议客户积极做好排查和防护。


尊龙抖圈 - 为du而生


影响版本


Microsoft Office LTSC 2021 for 32-bit/64-bit editions

Microsoft Office 2019 for 32-bit/64-bit editions

Microsoft Office 2016 (32-bit/64-bit edition)

Microsoft 365 Apps for Enterprise for 32-bit/64-bit System


漏洞复现


目前已乐成复现两种攻击场景。


1、NTLM泄露


尊龙抖圈 - 为du而生


2、结合其他漏洞触发RCE


尊龙抖圈 - 为du而生


解决方案


1、官方修复方案

官方已宣布宁静更新,建议将受影响的office升级至最新版本:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413,而且在升级之前不要轻易点击邮件中的链接或附件。


2、抖圈为赌而生解决方案


天阗入侵检测与管理系统、天阗超融合检测探针(CSP)、天阗威胁分析一体机(TAR)、天清入侵防御系统(IPS)可有效防护CVE-2024-21413漏洞造成的攻击风险。此外,天阗威胁分析一体机(TAR)内置沙箱检测功效,升级到最新补丁可有效检测利用该漏洞的恶意邮件。


尊龙抖圈 - 为du而生