Một mã khai thác Proof-of-Concept (PoC) đã được công bố cho một lỗ hổng CVE thực thi mã từ xa (RCE) nghiêm trọng trong Microsoft Outlook, được định danh là CVE-2024-21413. Lỗ hổng này, được đặt tên là “MonikerLink”, cho phép kẻ tấn công vượt qua các cơ chế bảo mật của Outlook, đặc biệt là chế độ “Protected View”, để thực thi mã độc hoặc đánh cắp thông tin xác thực.

Việc phát hành PoC này nhấn mạnh rủi ro liên tục mà lỗ hổng gây ra và đóng vai trò như một công cụ đào tạo cho các chuyên gia bảo mật để hiểu rõ hơn về vector tấn công.

Phân tích Kỹ thuật về Lỗ hổng CVE-2024-21413

Lỗ hổng CVE-2024-21413 được đánh giá với điểm CVSS 9.8. Nó tồn tại trong cách Microsoft Outlook xử lý các siêu liên kết cụ thể, còn gọi là “Moniker Links”. Thông thường, Protected View của Outlook hạn chế nội dung có khả năng gây hại, chẳng hạn như tệp từ internet, bằng cách mở chúng ở chế độ chỉ đọc.

Tuy nhiên, lỗ hổng MonikerLink cho phép kẻ tấn công phá vỡ lớp bảo vệ này. Điều này được thực hiện bằng cách sử dụng giao thức file:// theo sau là dấu chấm than và văn bản bổ sung trong một liên kết được tạo đặc biệt.

Cơ chế Khai thác và Tác động

Khi nạn nhân nhấp vào liên kết độc hại, Outlook sẽ cố gắng truy cập tài nguyên mà không hiển thị các cảnh báo bảo mật thông thường. Hành động này có thể kích hoạt một kết nối SMB tới một máy chủ do kẻ tấn công kiểm soát, dẫn đến rò rỉ thông tin xác thực NTLM cục bộ của nạn nhân.

Trong các kịch bản nghiêm trọng hơn, việc bỏ qua này có thể tạo điều kiện cho remote code execution (thực thi mã từ xa). Điều này cấp cho kẻ tấn công quyền kiểm soát đáng kể đối với hệ thống bị xâm nhập.

Mã Khai thác Proof-of-Concept (PoC)

Mã PoC mới được phát hành, dựa trên Python, minh họa cách khai thác lỗ hổng CVE này trong môi trường phòng thí nghiệm có kiểm soát. Mã này có sẵn trên GitHub tại: GitHub: CVE-2024-21413 PoC.

Script được thiết kế để hoạt động với thiết lập cụ thể liên quan đến hMailServer và nhắm mục tiêu một người dùng nạn nhân đang chạy phiên bản Outlook dễ bị tấn công. Nó tự động hóa quá trình gửi email độc hại chứa Moniker Link đến hộp thư của nạn nhân.

Tác giả của PoC lưu ý rằng script giả định một cấu hình cụ thể. Ví dụ như không có xác thực TLS, để đơn giản hóa quá trình kiểm thử cho mục đích giáo dục. Mặc dù mã này cơ bản và dành cho một đối tượng cụ thể (người dùng phòng “MonikerLink” trên nền tảng TryHackMe), nó minh họa hiệu quả cơ chế của cuộc tấn công.

Đối với những người tìm kiếm các công cụ khai thác nâng cao hoặc phát triển hơn, tác giả đã tham chiếu đến các kho lưu trữ thay thế, chẳng hạn như của nhà nghiên cứu bảo mật Xaitax. Việc công bố PoC này tăng khả năng các tác nhân đe dọa sẽ áp dụng các kỹ thuật tương tự.

Phát hiện và Giảm thiểu Lỗ hổng CVE

Các tổ chức có thể phát hiện các nỗ lực khai thác lỗ hổng CVE-2024-21413 này bằng cách giám sát các mẫu cụ thể trong lưu lượng email. Nhà nghiên cứu bảo mật Florian Roth đã phát hành một quy tắc YARA được thiết kế để xác định các email chứa yếu tố file:\ được sử dụng trong khai thác.

Quy tắc này giúp các tổ chức gắn cờ các tin nhắn đáng ngờ có thể đang cố gắng lợi dụng lỗ hổng MonikerLink trước khi chúng đến tay người dùng cuối.

Biện pháp Phòng ngừa và Cập nhật Bản vá

Microsoft đã phát hành các bản cập nhật bản vá chính thức để khắc phục CVE-2024-21413. Các tổ chức được khuyến nghị mạnh mẽ áp dụng ngay lập tức các bản vá này. Thông tin chi tiết về lỗ hổng có thể tìm thấy trên NVD: NVD: CVE-2024-21413.

Ngoài việc cập nhật bản vá, các đội an ninh mạng nên đảm bảo rằng tất cả các phiên bản Microsoft Office đều được cập nhật. Đồng thời, cần xem xét chặn lưu lượng SMB đi (cổng 445) để ngăn chặn rò rỉ thông tin xác thực NTLM tới các máy chủ bên ngoài. Đây là một biện pháp quan trọng để tăng cường an ninh mạng và giảm thiểu rủi ro bảo mật từ các cuộc tấn công khai thác lỗ hổng này.

Việc liên tục theo dõi và phản ứng kịp thời với các cảnh báo CVE là điều cần thiết để bảo vệ hệ thống khỏi các mối đe dọa mạng đang phát triển.