Moniker-Link (CVE-2024-21413)

13. Mai 2024 Celia Catalán

Am 13. Februar 2024 meldete Microsoft eine Schwachstelle in seiner Outlook-Anwendung. Ich habe diese Schwachstelle mit CVE-2024-21413 identifiziert, deren Kritikalität mit 9,8 (kritisch) eingestuft wurde. Die betroffenen Versionen sind:

Auflage	Ausführung
Microsoft Office LTSC 2021	Betroffen seit Version 19.0.0
Microsoft 365-Apps für Unternehmen	Betroffen seit Version 16.0.1
Microsoft Office 2019	Betroffen seit Version 16.0.1

Diese Schwachstelle ist möglich, wenn die Option „Geschützte Ansicht“ in Outlook vermieden wird. Dabei handelt es sich um eine Funktion, die den Lesezugriff einschränkt und so die Ausführung schädlicher Skripte wie Makros auf dem System verhindert.

Die Sicherheitslücke umgeht die Sicherheitsmechanismen von Outlook, indem sie einen bestimmten Hyperlinktyp namens Moniker Link verwendet, der der Sicherheitslücke ihren Namen gibt. Der Angreifer kann diese Sicherheitslücke ausnutzen, indem er eine E-Mail mit dem Moniker-Link an ein Opfer sendet. Wenn das Opfer auf den Link klickt, sendet es NetNTLMv2-Anmeldeinformationen an den Angreifer.

In einer kontrollierten Umgebung konnte die Schwachstelle Schritt für Schritt reproduziert werden. Der erste Schritt zum Verständnis der Sicherheitslücke besteht darin, zu wissen, dass die Verwendung des Moniker-Links: file:// in Outlook dazu führen kann, dass das Opfer versucht, auf eine Datei in einem gemeinsam genutzten Netzwerk zuzugreifen. Hierzu wird das SMB-Protokoll verwendet, das die Anmeldeinformationen des Benutzers erfordert, sodass die geschützte Ansicht von Outlook den Link blockiert. Durch die Verwendung des „!“ Sie können diese Outlook-Sicherheitsmaßnahme umgehen. Der resultierende Code zum Ausnutzen der Sicherheitslücke wäre:

Sobald dies verstanden ist, müssen Sie als Nächstes einen SMB-Listener auf dem Computer des Angreifers einrichten.

Darüber hinaus erstellen wir eine Datei, in die wir den Exploit-Code eingeben, der leicht auf Github zu finden ist (https://github.com/CMNatic/CVE-2024-21413).

Vorzunehmende Änderungen:

Ändern Sie den Moniker-Link in Zeile 12 so, dass er die IP des Computers des Angreifers widerspiegelt

Ändern Sie den MAILSERVER in Zeile 31 auf die IP der Maschine

Wenn alle Änderungen vorgenommen wurden, speichern Sie das Skript und führen Sie es aus. Wenn der unwissende Benutzer auf den Hyperlink klickt, versucht er, eine Verbindung zu einer nicht vorhandenen Netzwerkfreigabe herzustellen. Daher können wir den NetNTLMv2-Hash erfassen, da durch Klicken versucht wird, eine Verbindung herzustellen.