Outlook dính lỗ hổng nghiêm trọng |
Các sản phẩm Office bị ảnh hưởng bao gồm: Microsoft Office LTSC 2021 và Microsoft 365 Apps dành cho doanh nghiệp, Microsoft Outlook 2016 và Microsoft Office 2019 (hỗ trợ mở rộng).
Lỗ hổng có tên #MonikerLink, lợi dụng cách Outlook xử lý các hyperlink, cho phép kẻ tấn công qua mặt chế độ xem được bảo vệ (Protected View). Trong PoC mới được công khai trên GitHub, các bước khai thác cụ thể như sau:
Bước 1: Kẻ tấn công gửi email có hyperlink “file://” được tạo đặc biệt để qua mặt tính năng Protected View:
Bước 2: Người dùng sẽ bị kết nối đến máy chủ của kẻ tấn công qua giao thức SMB và gửi đi các thông tin xác thực NTLM nhạy cảm.
Bước 3: Kẻ tấn công lợi dụng Component Object Model (COM) của Windows để chạy mã độc, giúp chúng có thêm quyền kiểm soát hệ thống của nạn nhân.
Theo đánh giá của các chuyên gia WhiteHat, CVE-2024-21413 ảnh hưởng đến nhiều người dùng và rất nguy hiểm vì nó có thể bị khai thác với sự tương tác tối thiểu của người dùng - chỉ cần xem trước email trong phần xem trước (preview pane) là đủ để kích hoạt lỗi.
Tuy nhiên, để có được các thông tin nhạy cảm của người dùng (NTLM), hacker phải crack được hàm băm chứa thông tin đăng nhập khiến khả năng khai thác sẽ khó hơn.
Để giảm thiểu nguy cơ bị tấn công, WhiteHat khuyến cáo người dùng Outlook nên cẩn trọng trước các email lạ, thiết lập mật khẩu mạnh cho tài khoản Outlook và nhanh chóng cập nhật bản vá cho CVE-2024-21413.