Moniker Link (CVE-2024-21413)

Izenaren esteka (CVE-2024-21413)

Celia Catalán



2024ko otsailaren 13an, Microsoft-ek bere Outlook aplikazioan ahultasun bat jakinarazi zuen. Ahultasun hau CVE-2024-21413-rekin identifikatu nuen, zeinaren kritikotasuna 9.8 (kritikoa) gisa sailkatu baitzen. Kaltetutako bertsioak hauek dira:

Edizioa Bertsioa
Microsoft Office LTSC 2021 19.0.0 bertsiotik eraginda
Microsoft 365 Apps for Enterprise 16.0.1 bertsiotik eraginda
Microsoft Office 2019 16.0.1 bertsiotik eraginda

Ahultasun hori Outlook-en Babestutako Ikuspegiaren aukera saihestuz posible da, irakurtzeko sarbidea mugatzen duen eginbide bat, eta horrela sisteman script maltzurrak, hala nola makroak, exekutatzeko saihestuz.

Ahultasunak Outlook-en segurtasun-mekanismoak saihesten ditu Moniker Link izeneko hiperesteka mota zehatz bat erabiliz, eta horrek ahultasunari izena ematen dio. Erasotzaileak ahultasun hori ustiatu dezake biktima bati Moniker Link-a duen mezu elektroniko bat bidaliz. Biktimak estekan klik egiten duenean, NetNTLMv2 kredentzialak bidaltzen dizkio erasotzaileari.  

Ingurune kontrolatu batean ahultasuna urratsez urrats errepikatzea posible zen. Ahultasuna ulertzeko lehen urratsa Outlook-en Moniker Link: file:// erabiltzeak biktimak partekatutako sare batean fitxategi batera sartzen saia daitekeela jakitea da. Horretarako, SMB protokoloa erabiltzen da, erabiltzailearen kredentzialak behar dituena, beraz Outlook-en Babestutako Ikuspegiak esteka blokeatzen du. Hala ere, "!" Outlook segurtasun-neurri hau saihestu dezakezu. Ahultasuna ustiatzeko sortzen den kodea hau izango litzateke:


Hori ulertu ondoren, egin beharreko hurrengo gauza erasotzailearen makinan SMB entzule bat konfiguratzea da.


Honetaz gain, fitxategi bat sortzen dugu, non exploit kodea sartuko dugun, github-en erraz aurki daitekeena (https://github.com/CMNatic/CVE-2024-21413).


Egin beharreko aldaketak:
  • Aldatu 12. lerroko Moniker esteka erasotzailearen makinaren IPa islatzeko
  • Aldatu 31. lerroko MAILSERVER makinaren IPra

Aldaketa guztiak egin ondoren, gorde scripta eta exekutatu. Nahi gabeko erabiltzaileak hiperestekan klik egiten duenean, existitzen ez den sare partekatze batera konektatzen saiatzen da. Horrela, NetNTLMv2 hash-a har dezakegu, klik egitean konexioa saiatzen delako.



Honekin, Moniker Link ahultasunaren ustiapena arrakastaz amaituko zen. 
Eraso mota hau saihesteko, gomendagarria da:
  • Ez egin klik jatorria ezagutzen ez dugun mezu elektronikoetan
  • Aurreikusi mezu elektronikoak esteka susmagarrietan klik egin aurretik
Eta hor amaitu da gaurko mezua, eskerrik asko denboragatik eta hurrengora arte!

Jorge Ezequiel de Francisco , Zerolynxeko zibersegurtasun analista .
Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.