Опасная уязвимость в Outlook, позволяющая обходить защиту: распространение PoC-кода усугубляет ситуацию

В сфере кибербезопасности выявлена очередная серьёзная угроза, связанная с Microsoft Outlook. Уязвимость, зарегистрированная под идентификатором CVE-2024-21413, представляет собой критический изъян, который позволяет обойти один из ключевых механизмов защиты Outlook — Protected View (защищённый режим просмотра).

Недавно в сети был опубликован PoC-эксплойт (Proof-of-Concept), демонстрирующий способ эксплуатации этой уязвимости. Несмотря на то что код предназначен для образовательных целей, его появление на общедоступных платформах подтверждает реальную степень риска.

Что такое MonikerLink и почему он опасен?

Уязвимость CVE-2024-21413 исследователи назвали MonikerLink. Ошибка связана с тем, как Microsoft Outlook обрабатывает определённые типы гиперссылок, особенно так называемые «Moniker-ссылки».

В нормальных условиях, если пользователь открывает файл, полученный из интернета, Outlook запускает его в режиме Protected View, предотвращая выполнение потенциально опасного кода.

Однако благодаря уязвимости MonikerLink злоумышленник может сформировать специальную ссылку вида file:// с дополнительными символами, что позволяет обойти защиту Protected View.

Если пользователь кликает по такой ссылке, происходят следующие процессы:

  • Outlook обращается к ресурсу без каких-либо предупреждений,
  • система устанавливает SMB-подключение к серверу злоумышленника,
  • в результате утекают NTLM-хэши (учётные данные пользователя).

В ряде сценариев это может привести даже к удалённому выполнению кода (RCE), что потенциально позволяет атакующему получить полный контроль над системой.

Публикация PoC-эксплойта: палка о двух концах

По данным исследователей, PoC-код, опубликованный на GitHub, написан на Python и создан для демонстрации уязвимости в лабораторных условиях. Скрипт выполняет следующие действия:

  • через hMailServer отправляет жертве письмо с вредоносной ссылкой,
  • ссылка содержит специально сформированный MonikerLink,
  • после того как жертва нажимает на неё, уязвимость активируется.

Автор подчёркивает, что эксплойт создан для учебной комнаты «MonikerLink» на платформе TryHackMe и использует упрощённую конфигурацию (например, отсутствие TLS), чтобы облегчить процесс тестирования.

Однако тот факт, что код теперь в открытом доступе, значительно повышает риск того, что им воспользуются киберпреступники.

Меры защиты и способы обнаружения

После раскрытия информации об уязвимости эксперты подготовили инструменты для её выявления. Исследователь Флориан Рот разработал YARA-правило, позволяющее обнаруживать:

  • электронные письма,
  • содержащие элемент file:\,
  • который используется в эксплойте MonikerLink.

Это помогает организациям заранее блокировать подозрительные сообщения.

Специалисты настоятельно рекомендуют принять следующие меры:

1. Немедленно установить официальные обновления Microsoft

Для CVE-2024-21413 уже выпущены патчи — откладывать их установку крайне опасно.

2. Заблокировать исходящий SMB-трафик

Полная блокировка соединений по порту 445 помогает предотвратить утечку NTLM-данных.

3. Регулярно обновлять Outlook и другие продукты Office

Без обновлений система остаётся уязвимой для повторных атак.

Уязвимость MonikerLink показала, что достаточно одного клика по специальной ссылке, чтобы злоумышленник получил доступ к чувствительным данным или смог выполнить код на устройстве пользователя — причём без каких-либо предупреждений.

Публикация PoC-кода упрощает обучение специалистов по безопасности, однако одновременно предоставляет удобный инструмент в руки опытных киберпреступников.

Поэтому организациям и пользователям необходимо:

  • своевременно обновлять системы,
  • ограничивать SMB-трафик,
  • и повышать осведомлённость сотрудников о рисках перехода по подозрительным ссылкам.