La CISA a averti les agences fédérales américaines jeudi de sécuriser leurs systèmes contre les attaques en cours ciblant une vulnérabilité critique de Microsoft Outlow Outlook Remote Code (RCE).
Découvert par le chercheur de vulnérabilité de point de contrôle Haifei Li et suivi comme CVE-2024-21413le défaut est causé par une mauvaise validation des entrées lors de l’ouverture des e-mails avec des liens malveillants en utilisant des versions Vulnérables Outlook.
Les attaquants obtiennent des capacités d’exécution de code distantes car le défaut leur permet de contourner la vue protégée (qui devrait bloquer le contenu nuisible intégré dans les fichiers de bureau en les ouvrant en mode en lecture seule) et ouvrir des fichiers de bureau malveillants en mode d’édition.
Lorsqu’il a corrigé CVE-2024-21413 il y a un an, Microsoft a également averti que le volet d’aperçu est un vecteur d’attaque, permettant une exploitation réussie même lors de la prévisualisation des documents de bureau élaborés de manière malveillante.
Comme l’a expliqué Check Point, ce défaut de sécurité (lien sur le surnom) permet de menacer les acteurs contourner les protections des perspectives intégrées pour des liens malveillants intégrés dans les e-mails en utilisant le fichier: // protocole et en ajoutant une marque d’exclamation aux URL pointant vers des serveurs contrôlés par l’attaquant.
La marque d’exclamation est ajoutée juste après l’extension du fichier, ainsi que du texte aléatoire (dans leur exemple, le point de contrôle a utilisé « quelque chose »), comme indiqué ci-dessous:
*CLICK ME*
CVE-2024-21413 affects multiple Office products, including Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016, and Microsoft Office 2019, and successful CVE-2024-21413 attacks can result in the theft of NTLM credentials and the execution de code arbitraire via des documents de bureau élaborés de manière malveillante.
Jeudi, CISA ajouté La vulnérabilité à son catalogue connu sur les vulnérabilités exploitées (KEV), le marquant comme activement exploité. Comme obligeant la directive opérationnelle contraignante (BOD) 22-01, les agences fédérales doivent sécuriser leurs réseaux dans les trois semaines d’ici le 27 février.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », l’agence de cybersécurité averti.
Alors que la CISA se concentre principalement sur l’alerte des agences fédérales sur les vulnérabilités qui devraient être corrigées dès que possible, il est également conseillé aux organisations privées de hiérarchiser ces défauts pour bloquer les attaques en cours.
