极有可能被黑客利用,Outlook远程代码执行漏洞

发布于 作者:

极有可能被黑客利用,Outlook远程代码执行漏洞

原创 微步情报局 微步在线研究响应中心 2024-02-22 11:48

01 漏洞概况****

Microsoft Outlook是微软办公软件套装的组件之一,用于收发电子邮件、日历、任务管理、联系人等功能。微步漏洞团队于近日检测到微软发布了二月份补丁,披露数个安全漏洞,其中包括Outlook远程代码执行漏洞(CVE-2024-21413)。该漏洞有两种利用场景:
无需用户交互
在该场景下,成功利用该漏洞可以造成受害者的NTLM哈希泄露,结合NTLM Relay或爆破等攻击方式可以达到RCE的效果。
需要用户交互
在该场景下,利用该漏洞可与
任意COM组件的漏洞结合起来达到RCE的效果,例如Word的RTF解析漏洞。微步漏洞团队在对历史在野利用数据进行分析后,
发现与本漏洞类似的Microsoft Outlook 特权提升漏洞(CVE-2023-23397)已被APT28组织大范围利用。相关IOC:https://www.trendmicro.com/content/dam/trendmicro/global/en/research/23/l/pawn-storm-uses-brute-force-and-stealth-against-high-value-targets-/iocs-pawn-storm-uses-brute-force-and-stealth-against-high-value-targets.txt
综上所述,该漏洞利用难度低,危害大,极有可能(或已经)被攻击者利用。

02 漏洞处置优先级(VPT)

综合处置优先级:

漏洞编号

微步编号

XVE-2024-2628

漏洞评估

危害评级

高危

漏洞类型

RCE

公开程度

PoC已公开
利用条件
 无权限要求

交互要求

0-click/1-click

威胁类型

远程

利用情报

微步已捕获攻击行为

暂无

03 漏洞影响范围 产品名称Microsoft Outlook受影响版本Microsoft Office 2016(32-bit/64-bit Edition)Microsoft Office LTSC 2021(32-bit/64-bit Edition)Microsoft 365 Apps for Enterprise(32-bit/64-bit Edition)Microsoft Office 2019(32-bit/64-bit Edition)影响范围百万级有无修复补丁有

04 漏洞复现 05 修复方案1、官方修复方案:微软已发布更新补丁,请根据使用版本进行升级https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-214132、临时修复方案:1) 使用终端防护设备对终端进行防护2) 提升个人安全意识,不要轻易点击陌生邮件中的附件或链接06 微步产品侧支持情况1)微步在线威胁感知平台TDP已支持检测XVE-2023-37874 规则ID为 S3100138972、S310013897507 时间线 2024.02.14 厂商发布补丁2024.02.22 微步发布报告—End—微步漏洞情报订阅服务微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。扫码在线沟通↓↓↓点此电话咨询X 漏洞奖励计划“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。活动详情:https://x.threatbook.com/v5/vulReward