Outlook高危远程代码执行漏洞，东森平台提供解决方案

宣布时间 2024-02-23

Microsoft Office Outlook是微软开发的办公软件套装中的一个组件，主要功效是收发电子邮件，同时具有管理联系人信息、部署日程、分配任务等功效。

漏洞详情

近日，东森平台金睛宁静研究团队监测到微软二月份宁静补丁中一个CVSS评分为9.8的漏洞（Microsoft Outlook远程代码执行漏洞CVE-2024-21413）POC被果然。
经过研究确认，该漏洞绕过了Outlook中的宁静限制，导致攻击者只需发送一个钓鱼邮件，即可在受害者无需任何交互的情况下泄露其NTLM身份凭据信息。通过进一步的破解或者NTLM relay攻击，即可伪造受害者身份进行认证，从而获取对应权限。同时该漏洞在和任意COM漏洞结合使用(如CVE-2022-30190)的时候，攻击者只需诱导受害者点击链接，即可在用户电脑上执行任意代码。
该漏洞利用难度较低，与去年被APT28组织频繁利用的Microsoft Outlook 权限提升漏洞(CVE-2023-23397)的攻击场景类似，后续被利用的可能性较高。目前官方已宣布宁静更新，建议客户积极做好排查和防护。

东森·(中国区)官方网站

影响版本

Microsoft Office LTSC 2021 for 32-bit/64-bit editions

Microsoft Office 2019 for 32-bit/64-bit editions

Microsoft Office 2016 (32-bit/64-bit edition)

Microsoft 365 Apps for Enterprise for 32-bit/64-bit System

漏洞复现

目前已乐成复现两种攻击场景。

1、NTLM泄露

东森·(中国区)官方网站

2、结合其他漏洞触发RCE

东森·(中国区)官方网站

解决方案

1、官方修复方案

官方已宣布宁静更新，建议将受影响的office升级至最新版本：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413，而且在升级之前不要轻易点击邮件中的链接或附件。

2、东森平台解决方案

天阗入侵检测与管理系统、天阗超融合检测探针（CSP）、天阗威胁分析一体机（TAR）、天清入侵防御系统（IPS）可有效防护CVE-2024-21413漏洞造成的攻击风险。此外，天阗威胁分析一体机（TAR）内置沙箱检测功效，升级到最新补丁可有效检测利用该漏洞的恶意邮件。

东森·(中国区)官方网站

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究