Исследователи кибербезопасности опубликовали рабочий код эксплойта (Proof-of-Concept, PoC) для критической уязвимости удалённого выполнения кода (Remote Code Execution, RCE) в Microsoft Outlook, получившей название "MonikerLink". Уязвимость, зарегистрированная под идентификатором CVE-2024-21413, позволяет злоумышленникам выполнять произвольный код на системах жертв через специально сформированные электронные письма, создавая серьёзную угрозу для организаций по всему миру.
Суть уязвимости и механизм атаки
Баг MonikerLink затрагивает способ обработки гиперссылок в почтовом клиенте Microsoft Outlook. Как обнаружили специалисты Check Point Research, уязвимость позволяет обходить встроенные средства защиты Outlook путём добавления специального символа восклицательного знака ("!") к путям файлов в ссылках внутри писем. Когда пользователь кликает на вредоносную ссылку, отформатированную, например, как "file:///\\IP\test\test.rtf!something", Outlook интерпретирует её как "ссылку-моникер" (Moniker Link) и обрабатывает через COM API Windows, минуя стандартные предупреждения системы безопасности.
Это открывает перед угрозовыми акторами несколько возможностей для атаки. Успешная эксплуатация может привести к утечке хэшей учётных данных NTLM с локального компьютера, которые злоумышленники затем могут использовать для дальнейшего проникновения в сеть. Более тревожным является возможность достижения полного удалённого выполнения кода без срабатывания защищённого режима Protected View. Этот режим безопасности предназначен для открытия потенциально опасных файлов в изолированной среде. Опубликованный на GitHub код эксплойта наглядно демонстрирует, как можно создать вредоносные письма, крадущие NTLM-хэши, даже при простом просмотре письма в области предпросмотра Outlook, без необходимости кликать на ссылку. Эксплойт использует аутентификацию по протоколу SMTP для отправки писем, обходящих проверки безопасности SPF, DKIM и DMARC, что имитирует условия реальной атаки.
Подтверждённые случаи эксплуатации и реакция регуляторов
Кибербезопасность и инфраструктурное агентство США (CISA) внесло CVE-2024-21413 в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities Catalog) в феврале 2025 года, что официально подтвердило активное использование этой уязвимости в реальных атаках. Агентство обязало федеральные ведомства установить патчи к установленному сроку и рекомендовало всем организациям незамедлительно заняться устранением риска.
Для обнаружения попыток эксплуатации специалисты предлагают несколько методов. Например, исследователь Флориан Рот разработал правила для системы YARA, которые позволяют выявлять письма, содержащие характерный шаблон "file:\\". Кроме того, мониторинг сетевого трафика с помощью инструментов вроде Wireshark может помочь перехватить подозрительный трафик по протоколу SMB, который указывает на попытки кражи NTLM-учетных данных.
Меры защиты и системные риски
Корпорация Microsoft выпустила обновления безопасности для устранения этой уязвимости ещё в рамках «вторника патчей» (Patch Tuesday) в феврале 2024 года. Крайне важно незамедлительно установить эти обновления на все поражённые установки Microsoft Office. В средах, где немедленное обновление невозможно, временной мерой смягчения может стать отключение исходящего SMB-трафика на внешние адреса.
Однако эксперты Check Point предупреждают, что проблема MonikerLink не ограничивается Outlook. Её корень лежит в небезопасном использовании COM API Windows, в частности функций "MkParseDisplayName()" и "MkParseDisplayNameEx()". Следовательно, другие приложения, использующие эти механизмы, также могут оказаться уязвимыми. Это превращает конкретный баг в Outlook в системную проблему для всей экосистемы Windows, по масштабу потенциальных последствий сравнимую с уязвимостью Log4j в средах Java. Таким образом, инцидент служит серьёзным напоминанием о важности своевременного обновления программного обеспечения и глубокого анализа уязвимостей, затрагивающих фундаментальные компоненты операционных систем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-21413
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
- https://research.checkpoint.com/2024/the-risks-of-the-monikerlink-bug-in-microsoft-outlook-and-the-big-picture/
- https://github.com/mmathivanan17/CVE-2024-21413
