漏洞概述

漏洞名称

Microsoft Outlook 远程代码执行漏洞

漏洞编号

QVD-2024-6258, CVE-2024-21413

公开时间

2024-02-14

影响对量级

千万级

奇安信评级

高危

CVSS 3.1分数

9.8

威胁类型

信息泄露,代码执行

利用可能性

POC状态

已公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

已公开

利用条件:需要受害者点击或使用预览窗口预览文件。

0漏洞详情

影响组件

Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。Outlook的功能很多,可以用它来收发电子邮件、管理联系人信息、记日记、安排日程、分配任务。

漏洞描述

近日,奇安信CERT监测到微软二月补丁日修复多个漏洞,其中包括Microsoft Outlook远程代码执行漏洞(CVE-2024-21413)。成功利用此漏洞将允许攻击者绕过Office受保护视图,并在编辑模式下打开文件,而不是在保护模式下,预览窗格也可触发此漏洞。未经身份验证的远程攻击者利用此漏洞可以制作绕过受保护的视图协议的恶意链接,诱骗受害者打开,在受害者机器上泄露NTLM 凭据信息或远程代码执行 (RCE)。

目前此漏洞的技术细节与PoC已在互联网上公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

02 影响范围

影响版本

Microsoft Office 2016 (64-bit edition)

Microsoft Office 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

其他受影响组件

03 复现情况

目前,奇安信威胁情报中心安全研究员已成功复现Microsoft Outlook远程代码执行漏洞(CVE-2024-21413),截图如下:

04 处置建议

安全更新

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Office 手动更新

1、打开任何 Office 应用(如 Word)并创建新文档。

2、点击“文件”>“帐户”。

3、在“产品信息”下,选择“更新选项”>“立即更新”。

注意: 如果不能立即看到“立即更新”选项,可能需要先单击“启用更新”。

4、Office 完成检查和安装更新后,关闭“已是最新版本!”窗口。

或参考以下链接下载适用于该系统的补丁并安装:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413

05 参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。