Moniker Link (CVE-2024-21413)
Compartir
El 13 de febrero de 2024, Microsoft notificó sobre una vulnerabilidad en su aplicación Outlook. A esta vulnerabilidad se la identifico con el CVE-2024-21413, cuya criticidad se catalogó con un 9.8 (crítica). Las versiones afectadas son:
Edición | Versión |
---|---|
Microsoft Office LTSC 2021 | Afectado desde la versión 19.0.0 |
Microsoft 365 Apps for Enterprise | Afectado desde la versión 16.0.1 |
Microsoft Office 2019 | Afectado desde la versión 16.0.1 |
Esta vulnerabilidad es posible evitando la opción vista protegida (Protected View) de Outlook, una característica que nos limita el acceso de lectura, evitando así que se ejecuten scripts maliciosos como macros en el sistema.
La vulnerabilidad evita los mecanismos de seguridad de Outlook usando un tipo específico de hyperlink llamado Moniker Link, lo que da el nombre a la vulnerabilidad. El atacante puede explotar esta vulnerabilidad enviando un email que contenga el Moniker Link a una víctima. Cuando la víctima hace click en el enlace, envía las credenciales NetNTLMv2 al atacante.
Dentro de un entorno controlado fue posible replicar la vulnerabilidad paso a paso. El primer paso para comprender la vulnerabilidad es saber que mediante el uso del Moniker Link: file:// en Outlook se puede hacer que la víctima intente acceder a un archivo en una red compartida. Para ello se usa el protocolo SMB el cual necesita las credenciales del usuario, por lo que la Protected View de Outlook bloquea el link. Sin embargo, mediante el uso de carácter “!” se puede evitar esta medida de seguridad de Outlook. El código resultante para poder explotar la vulnerabilidad sería:
- Modificar el Moniker link en la línea 12 para reflejar la IP de la máquina del atacante
- Cambiar el MAILSERVER de la línea 31 por la IP de la máquina
- No hacer click en emails cuyo origen no conocemos
- Previsualizar los emails antes de hacer click en enlaces sospechosos