CVE-2024-21413 - Microsoft Outlook Remote Code Execution Vulnerability

Publicado hace 7 meses 19-02-2024

Descripción de la vulnerabilidad.

La vulnerabilidad CVE-2024-21413 permite a un atacante omitir la vista protegida de Office y abrir el documento en modo de edición en lugar de en modo protegido. Incluso la ventana de vista previa de los correos electrónicos en Microsoft Outlook es suficiente como vector de ataque. Un atacante que aproveche con éxito esta vulnerabilidad podría obtener altos privilegios que incluyen derechos de lectura, escritura y eliminación.

Para ello, el atacante debe crear un enlace malicioso que eluda el protocolo Vista protegida. Esto conduce a la fuga de credenciales NTLM locales y a la ejecución remota de código (RCE). Microsoft clasificó la vulnerabilidad como crítica.

Explotación.

Realizando una construcción especial en los hipervínculos de Outlook se pueden eludir los mecanismos de protección. Si un hipervínculo con http o https está incrustado en un documento, Outlook inicia el navegador predeterminado para mostrarlo. Si el link apunta a un protocolo de alguna aplicación como el del siguiente ejemplo, aparecerá una advertencia donde Outlook reporta un riesgo.

Call me on Skype

Hasta ahora todo bien, pero ¿qué pasa si esta URL se modifica ligeramente (por ejemplo, archivo en lugar de Skype)?

Investigadores de seguridad descubrieron que un signo de exclamación era suficiente para eludir los mecanismos de protección. El siguiente enlace lo demuestra:

CLICK ME

El “!something” adjunto confunde al analizador de la URL, basta con un click en el hipervínculo para desatar las instrucciones que el atacante inyectó.

Versiones Afectadas

Esta vulnerabilidad a las siguientes paqueterías de Microsoft.

  • Microsoft Office 2016

  • Microsoft Office LTSC 2021

  • Microsoft 365 Apps for Enterprise

  • Microsoft Office 2019

Recomendaciones

Mitigación.

Para estar protegidos, los clientes con Microsoft Office deben instalar todas las actualizaciones a partir de febrero de 2024, que Microsoft ha enumerado en su publicación de soporte.

Referencias

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-21413

https://borncity.com/win/2024/02/15/warning-about-critical-outlook-rce-vulnerability-cve-2024- 21413/

https://cert.europa.eu/publications/security-advisories/2024-019/ https://www.crowdstrike.com/blog/patch-tuesday-analysis-february-2024/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 6 horas 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 6 horas 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más