最近,Morphisec研究人员发现了两个严重的Microsoft Outlook漏洞:CVE-2024-38021和CVE-2024-30103。CVE-2024-38021是一个零点击RCE漏洞,不需要任何用户交互即可执行恶意代码,被评为"重要",但Morphisec建议重新评估为"关键"。该漏洞于4月21日报告给微软,7月9日微软发布了补丁。
CVE-2024-30103漏洞允许通过恶意Outlook表单远程执行代码,利用了Outlook表单的允许列表机制缺陷。该漏洞在邮件打开时立即执行,构成高风险。尽管微软已经发布补丁,Morphisec认为微软未能完全解决denylist功能中的漏洞,因此仍可能被利用。两个漏洞的技术细节和概念验证已在8月12-13的DEF CON 32会议上公布。Morphisec利用自动化移动目标防御(AMTD)技术减少此类漏洞的利用风险,并提供虚拟补丁功能,为未修补的漏洞提供补偿控制。
1、CVE-2024-38021
简要描述
CVE-2024-38021是一个影响大多数Microsoft Outlook应用程序的零点击远程代码执行(RCE)漏洞。与之前需要身份验证的CVE-2024-30103不同,这个新漏洞不需要任何身份验证,即可触发恶意代码的执行。
披露时间表
-
2024年4月21日
:Morphisec研究人员首次向微软报告了这个漏洞。
-
-
2024年7月9日
:作为其“补丁星期二”更新的一部分,微软发布了针对CVE-2024-38021的补丁。
技术影响
该漏洞被微软评为“重要”等级,区分了可信和不可信的发件人。对于可信发件人,该漏洞是零点击的,而对于不可信发件人,则需要用户交互。Morphisec建议微软重新评估其严重性,并将其标记为“关键”。
利用风险
由于其零点击特性和无需身份验证的要求,CVE-2024-38021构成了严重的风险。攻击者可以利用此漏洞在没有任何用户交互的情况下获得未授权访问、执行任意代码,可能造成重大损害。
补丁修复
微软已经发布了补丁来修复这个漏洞。用户应确保所有Microsoft Outlook和Office应用程序都更新到最新的补丁。此外,建议实施强大的电子邮件安全措施,包括如果可能的话禁用自动电子邮件预览,并提高用户对打开未知或可疑来源电子邮件的风险意识。
2、CVE-2024-30103
简要描述
CVE-2024-30103是一个在Microsoft Outlook中新发现的漏洞,它允许通过恶意注入的Outlook表单在Outlook应用程序的上下文中远程执行代码,这种代码执行会在电子邮件打开时立即触发。
披露时间表
-
2024年初
:Netspi公布了他们在Microsoft Outlook中发现的一个相关漏洞CVE-2024-21378的技术细节。
-
2024年6月
:Morphisec披露了CVE-2024-30103,这个漏洞利用了Outlook表单的允许列表机制中的缺陷。
技术影响
该漏洞利用了允许列表算法中的缺陷,无法解决注册表路径中的特定字符操作,允许未经授权实例化同步自定义表单。攻击者可以操纵注册表路径以指向恶意可执行文件,这些文件会在Outlook打开特制电子邮件时自动实例化。
利用风险
此漏洞允许攻击者在Outlook应用程序上下文中执行任意代码,可能导致数据泄露、未经授权的访问和其他恶意活动。由于它在打开电子邮件时立即执行,因此具有很高的风险。
补丁修复
微软通过更新允许列表匹配算法来修复此漏洞,移除了子键末尾的反斜杠,并更新了黑名单以防止可能利用子键操作的远程代码执行攻击。然而,Morphisec指出,微软在denylist功能中采取的措施并未完全解决问题,因此漏洞仍然可能被利用。Morphisec提供了针对此漏洞的保护措施,确保客户安全。
3、完整分析及POC验证
