Представники Агентства з кібербезпеки та захисту інфраструктури США (CISA) попередили, що федеральні відомства повинні захистити свої системи від триваючих атак, спрямованих на критичну вразливість в Microsoft Outlook.

Йдеться про вразливість CVE-2024-21413, яку минулого року виявили фахівці компанії Check Point. Проблема стосується низки продуктів Office, включаючи Microsoft Office LTSC 2021 і Microsoft 365 Apps for Enterprise, а також Microsoft Outlook 2016 і Microsoft Office 2019.

Помилка призводить до віддаленого виконання коду при відкритті листів зі шкідливими посиланнями при використанні вразливої версії Microsoft Outlook. Справа в тому, що баг дозволяє обійти Protected View (механізм, призначений для блокування шкідливого вмісту, вбудованого в файли Office, шляхом відкриття в режимі тільки для читання) і відкривати шкідливі файли Office в режимі редагування.

У підсумку атака може призвести до крадіжки облікових даних NTLM і виконання довільного коду за допомогою шкідливих документів Office.

Дослідники попереджали, що панель попереднього перегляду теж може стати вектором атаки, оскільки експлуатувати CVE-2024-21413 можна навіть через попередній перегляд шкідливих документів.

Аналітики Check Point назвали цю вразливість Moniker Link і писали, що вона дозволяє обійти захист Outlook від шкідливих посилань, вбудованих в електронні листи за допомогою file://. Потрібно лише додати знак оклику до URL, який вказує на підконтрольні зловмисникам сервери.

За словами дослідників, вразливість пов’язана з API MkParseDisplayName, тому може впливати і на інше ПЗ, яке його використовує.

Як тепер повідомляють представники CISA, вразливість вже піддається атакам і була внесена до каталогу відомих експлуатованих вразливостей (Known Exploited Vulnerabilities, KEV).

«Подібні типи вразливостей часто є векторами атак з боку зловмисників і становлять значні ризики для федеральних організацій», — попереджають у відомстві.