Outlook’da himoyani chetlab o‘tuvchi xavfli nuqson: PoC kodining tarqalishi vaziyatni yanada og‘irlashdirmoqda

Kiberxavfsizlik dunyosida Microsoft Outlook’ka taalluqli navbatdagi jiddiy tahdid paydo bo‘ldi. Mutaxassislar tomonidan CVE-2024-21413 sifatida ro‘yxatga olingan ushbu zaiflik Outlook’ning eng muhim himoya mexanizmlaridan biri — Protected View (Himoyalangan ko‘rinish)ni chetlab o‘tishga imkon berishi bilan alohida xavf tug‘diradi.

Yaqinda internetda ushbu zaiflik bo‘yicha PoC (Proof-of-Concept) eksploit kodi ochiq e’lon qilindi. Bu kod ta’limiy maqsadlarda mo‘ljallangan bo‘lsa-da, u zaiflikning haqiqiy qanchalik xavfli ekanini yana bir bor tasdiqlaydi.

MonikerLink nima va nega u xavfli?

CVE-2024-21413 zaifligi tadqiqotchilar tomonidan “MonikerLink” deb nomlangan. Muammo Microsoft Outlook’ning ayrim turdagi gipermurojaatlarni, xususan Moniker linklarini qayta ishlash mexanizmiga taalluqli.

Oddiy holatda, agar foydalanuvchi internetdan kelgan faylni ochsa, Outlook uni Protected View orqali faqat o‘qish rejimida ochadi va potentsial zararli kod bajarilishining oldini oladi.

Ammo MonikerLink zaifligida hujumchilar file:// formatidagi havolaga qo‘shimcha belgilar qo‘shish orqali bu himoyani chetlab o‘tishlari mumkin.

Foydalanuvchi bunday havolaga bir marta bosishi bilan quyidagi jarayon sodir bo‘ladi:

  • Outlook hech qanday ogohlantirishsiz faylga murojaat qiladi,
  • tizim hujumchi serveriga SMB ulanishi yuboradi,
  • natijada qurbonning NTLM xashlari (kirish ma’lumotlari) sizib chiqadi.

Ayrim hollarda esa ushbu chekinish masofadan kod bajarilishiga (RCE) sabab bo‘lishi mumkin — bu esa tizimning to‘liq egallanishi bilan yakunlanadi.

PoC eksploitining e’lon qilinishi: ikki tomonlama qilich

PoC GitHub’ga joylashtirilgan bo‘lib, u Python tilida yozilgan va laboratoriya sharoitida zaiflikni namoyish etish uchun mo‘ljallangan. U zanjirli tarzda quyidagilarni bajaradi:

  • hMailServer orqali qurbon pochta qutisiga zararli xat yuboradi,
  • xat ichida MonikerLink ko‘rinishidagi maxsus havola bo‘ladi,
  • foydalanuvchi havolaga bosishi bilan eksploit ishga tushadi.

PoC’ning o‘zi sodda ko‘rinishda, ammo zaiflik qanday ishlashini aniq ko‘rsatib beradi. Uning muallifi eksploit TryHackMe platformasidagi “MonikerLink” mashg‘ulotiga mo‘ljallanganini ta’kidlaydi.

Shunga qaramay, eksploit kodining ommaga ochiq bo‘lib qolishi real jinoyatchilar tomonidan ham foydalanilish ehtimolini oshiradi.

Himoya choralarini ko‘rish va aniqlash imkoniyatlari

Zaiflik haqida xabar e’lon qilingach, yetakchi xavfsizlik tadqiqotchilari uni aniqlash bo‘yicha vositalarni ishlab chiqdi. Florian Roth tomonidan yaratilgan YARA qoidasi yordamida:

  • elektron pochta oqimida
  • file:\ elementini o‘z ichiga olgan
  • shubhali xabarlarni aniqlash mumkin.

Bu kuchli oldindan ogohlantirish mexanizmi hisoblanadi.

Shuningdek, mutaxassislar quyidagi choralarni qat’iy tavsiya qiladi:

1. Microsoft bergan yamalarni zudlik bilan o‘rnatish

CVE-2024-21413 uchun rasmiy yangilanishlar chiqarilgan va ularni kutmasdan qo‘llash zarur.

2. Tashqi tarmoqqa SMB-chiqishni bloklash

Port 445 (SMB) orqali tashqi manzillarga chiqishni to‘sish NTLM xashlarining sizib ketishiga yo‘l qo‘ymaydi.

3. Outlook ilovalarini doimiy ravishda yangilab borish

Aks holda zaiflik qayta-qayta ekspluatatsiya qilinishi mumkin.

MonikerLink zaifligi oddiy havola orqali ham foydalanuvchini nishonga olish mumkinligini yana bir bor isbotladi. Eng xavflisi shundaki, hujum uchun qurbonning faqat bir marta bosishi yetadi — bajarilgan kod esa hech qanday ogohlantirishlarsiz ishga tushishi mumkin.

PoC eksploitining ommaga e’lon qilinishi xavfsizlik tadqiqotchilariga o‘rganish imkonini berar ekan, shu bilan birga tajribali kiberjinoyatchilar qo‘liga ham qulay vosita taqdim etadi.

Shu sabab, tashkilotlar va foydalanuvchilar tizimlarini muntazam yangilab borishi, tashqi SMB-trafikni cheklashi va shubhali havolalarni ochmaslik bo‘yicha xabardorlikni oshirishi lozim.