继 Windows LDAP 中名为 CVE-2024-49113 又名 LDAPNightmare 的拒绝服务(DoS)漏洞被披露之后,又一个影响微软产品的高危漏洞出现了。最近修补的 Microsoft Outlook 漏洞被跟踪为 CVE-2025-21298,允许攻击者通过特制的电子邮件在 Windows 设备上执行 RCE,从而构成重大的电子邮件安全风险。使用 SOC Prime 的免费 Sigma 规则检测 CVE-2025-21298 漏洞利用尝试仅 2025 年 1 月就发现了 2,560 个漏洞,由于正在被利用的漏洞激增,年初成为了一个特别高风险的时期。显著的例子包括 CVE-2024-49112、CVE-2024-55591 和 CVE-2024-49113。CVE-2025-21298–一个零点击漏洞,严重程度为 9.8 级,可导致受影响实例的远程代码执行 (RCE)–的披露进一步加剧了紧迫性,构成了需要立即采取行动的严重威胁。用于集体网络防御的 SOC Prime Platform 提供免费的 Sigma 规则,可及时发现利用企图。MS Office 丢弃可疑文件(通过 file_event)该规则有助于识别与 .rtf 文件或其他通常与 OLE 利用相关联的可疑文件类型进行交互的系统,并进一步关注对主动处理高风险扩展名(如 .rtf、.dll、.exe)的主机进行修补。该检测与多个 SIEM、EDR 和 Data Lake 解决方案兼容,并映射到 MITRE ATT&CK,解决客户端执行漏洞利用 (T1203) 技术和网络钓鱼:鱼叉式网络钓鱼附件 (T1566.001) 子技术。此外,该规则还丰富了大量元数据,包括 CTI 引用、攻击时间表等。安全专业人员在寻找针对漏洞利用尝试的更多相关内容时,可以跟踪添加到威胁检测市场的带有 CVE-2025-21298 标记的任何新规则。此外,网络防御者还可以点击下面的 “探索检测 ”按钮,访问整个检测堆栈,以主动检测漏洞利用情况。CVE-2025-21298 分析CVE-2025-21298是微软最新的2025补丁星期二更新中解决的一个关键零点击RCE漏洞,根据CVSS评分被评为9.8分。该漏洞可由有害的 RTF 文档触发,这些文档通常在网络钓鱼活动中作为附件或链接发送,目的是诱使受害者打开这些文档。该漏洞存在于 Windows OLE 中,该技术可实现文档和对象的嵌入和链接。据微软称,如果受害者在 Outlook 中打开或预览特制的电子邮件,就会被利用。攻击者通过发送恶意电子邮件来利用这一漏洞,只要在 Outlook 中打开或预览电子邮件,就会在目标系统上触发 RCE。防御者认为,CVE-2025-21298 是对企业的一个重大威胁,因为它的攻击复杂性低,用户交互水平低。该漏洞一旦被成功利用,就会导致系统完全崩溃,攻击者就可以执行任意代码、安装攻击性软件、修改或删除数据以及访问敏感信息。作为潜在的 CVE-2025-21298 缓解措施,当务之急是立即应用补丁,尤其是在涉及 Outlook 等电子邮件客户端时。对于无法安装所需更新的组织,防御者建议使用微软提供的变通方法,以纯文本格式打开未知来源的 RTF 文件。依靠 SOC Prime Platform,利用先进的威胁检测、自动威胁捕猎和智能驱动的检测工程的完整产品套件,积极主动地利用漏洞,并针对任何新出现的网络威胁进行面向未来的防御。
