Enllaç de sobrenom (CVE-2024-21413)
Celia Catalán.png)
El 13 de febrer del 2024, Microsoft va notificar sobre una vulnerabilitat en la seva aplicació Outlook. A aquesta vulnerabilitat se la identifico amb el CVE-2024-21413, la criticitat del qual es va catalogar amb un 9.8 (crítica). Les versions afectades són:
| Edició | Versió |
|---|---|
| Microsoft Office LTSC 2021 | Afectat des de la versió 19.0.0 |
| Aplicacions de Microsoft 365 per a empreses | Afectat des de la versió 16.0.1 |
| Microsoft Office 2019 | Afectat des de la versió 16.0.1 |
Aquesta vulnerabilitat és possible evitant l'opció vista protegida (Protected View) d'Outlook, una característica que ens limita l'accés de lectura, evitant així que s'executin scripts maliciosos com a macros al sistema.
La vulnerabilitat evita els mecanismes de seguretat d'Outlook usant un tipus específic de hyperlink anomenat Moniker Link, cosa que dóna el nom a la vulnerabilitat. L'atacant pot explotar aquesta vulnerabilitat enviant un correu electrònic que contingui el Moniker Link a una víctima. Quan la víctima fa clic a l'enllaç, envia les credencials NetNTLMv2 a l'atacant.
Dins un entorn controlat va ser possible replicar la vulnerabilitat pas a pas. El primer pas per comprendre la vulnerabilitat és saber que mitjançant l'ús del Moniker Link: file:// a l'Outlook es pot fer que la víctima intenti accedir a un fitxer en una xarxa compartida. Per això s'usa el protocol SMB el qual necessita les credencials de l'usuari, per la qual cosa la Protected View d'Outlook bloqueja el link. Tot i això, mitjançant l'ús de caràcter “!” es pot evitar aquesta mesura de seguretat dOutlook. El codi resultant per poder explotar la vulnerabilitat seria:
- Modificar el Moniker link a la línia 12 per reflectir la IP de la màquina de l'atacant
- Canviar el MAILSERVER de la línia 31 per la IP de la màquina
- No fer clic a emails l'origen dels quals no coneixem
- Previsualitzar els emails abans de fer clic a enllaços sospitosos
