Chi tiết kỹ thuật phát hành Outlook Zero-click RCE lỗ hổng bảo mật

Các nhà nghiên cứu tại Morphisec đã phát hiện ra chi tiết kỹ thuật quan trọng về lỗ hổng thực thi mã từ xa (RCE) không cần tương tác người dùng trong Microsoft Outlook, được định danh là CVE-2024-38021. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý mà không cần xác thực người dùng. Nó khai thác lỗ hổng trong cách Outlook xử lý các liên kết hình ảnh. Khác với CVE-2024-21413, CVE-2024-38021 bỏ qua bản vá ban đầu của Microsoft bằng cách tấn công phương thức mso30win32client!HrPmonFromUrl.

Phương thức này, chịu trách nhiệm phân tích cú pháp URL trong các thẻ hình ảnh, không đặt cờ BlockMkParseDisplayNameOnCurrentThread. Do đó, nó cho phép xử lý các composite monikers, dẫn đến việc gọi hàm MkParseDisplayName không an toàn.

Điều này có thể dẫn đến việc khai thác lỗ hổng bảo mật bằng cách lợi dụng quá trình phân tích các liên kết trong Outlook, gây ra nguy cơ thực thi mã độc từ xa mà không cần sự tương tác của người dùng.
Cuộc tấn công liên quan đến việc chèn một composite moniker vào URL trong thẻ hình ảnh. Điều này giúp vượt qua các biện pháp bảo mật được áp dụng trong chức năng tạo liên kết, dẫn đến khả năng thực thi mã từ xa và rò rỉ thông tin đăng nhập NTLM cục bộ.


Microsoft’s Patch
Microsoft’s patch for CVE-2024-38021 follows a similar approach to the previous vulnerability, utilizing the BlockMkParseDisplayNameOnCurrentThread flag in the HrPmonFromUrl function. This prevents the invocation of the vulnerable MkParseDisplayName function for composite monikers in image tag URLs.

Tuy nhiên, các nhà nghiên cứu đã phát hiện rằng việc sử dụng một file moniker đơn giản vẫn có thể dẫn đến rò rỉ thông tin đăng nhập NTLM cục bộ, cho thấy bản vá chưa hoàn toàn khắc phục tất cả các rủi ro bảo mật tiềm ẩn.

Microsoft đã đánh giá lỗ hổng này với mức độ nghiêm trọng “Important”, phân biệt giữa người gửi đáng tin cậy và không đáng tin cậy. Đối với người gửi đáng tin cậy, lỗ hổng này là zero-click, nghĩa là không cần tương tác từ người dùng, trong khi đối với người gửi không đáng tin cậy, yêu cầu người dùng phải thực hiện một lần nhấp chuột.

–Khuyến cáo–
Cập nhật kịp thời tất cả bản vá các ứng dụng Microsoft Outlook và Office mới nhất.
Triển khai các biện pháp bảo mật email mạnh mẽ, bao gồm tắt tính năng xem trước email tự động.

Training người dùng về những rủi ro khi mở email từ các nguồn không xác định.

jsisen

phuongit

outlook_zeroday

CVE202438021

Microsoft chia sẻ cách khắc phục lỗi Outlook sau khi mở

Microsoft đã chia sẻ giải pháp cho một sự cố đã biết ảnh hưởng đến khách hàng Microsoft 365 và khiến Outlook cổ điển gặp sự cố sau khi mở hoặc khi khởi động ở chế độ An toàn.

Người dùng bị ảnh hưởng có thể xác nhận xem họ có bị ảnh hưởng bởi sự cố cụ thể này hay không bằng cách tìm kiếm sự cố Sự kiện 1000 hoặc Sự kiện 1001 trong Nhật ký ứng dụng Windows Event Viewer với mã ngoại lệ 0xc0000005 được liên kết với mô-đun bị lỗi ucrtbase.dll.

Dựa trên báo cáo của người dùng , sự cố chỉ ảnh hưởng đến tài khoản Office 365 và không thể giải quyết chúng bằng cách quay lại bản dựng trước, tạo hồ sơ Outlook mới hoặc thậm chí sau khi cài đặt sạch Windows.

Sau khi điều tra, Redmond cho biết sự cố có liên quan đến tài khoản email Microsoft 365 cũng như các quy tắc máy chủ và ứng dụng khách hộp thư bị hỏng.

“Sau khi cập nhật lên Phiên bản 2407 Build 17830.20138 trở lên, bạn thấy rằng Outlook có thể đóng bất ngờ khi khởi động. Outlook cũng sẽ đóng nếu bạn kiểm tra ở Chế độ an toàn”, công ty cho biết trong tài liệu hỗ trợ được xuất bản hôm thứ Sáu.

“Sự cố này được phát hiện xảy ra nếu các quy tắc dựa trên máy chủ cho tài khoản email M365 bị hỏng hoặc Outlook không thể xử lý.”

Cho đến khi bản sửa lỗi chính thức được phát hành cho sự cố này, Microsoft cung cấp giải pháp tạm thời yêu cầu người dùng Outlook cổ điển xóa tất cả các quy tắc email được liên kết với tài khoản của họ theo cách thủ công.

Để làm điều đó, bạn sẽ phải:

  1. Để xóa các quy tắc máy khách và máy chủ, hãy chạy dòng lệnh “quy tắc sạch” bằng cách đóng Outlook, bấm chuột phải vào nút Bắt đầu của Windows, chọn Chạy và chạy lệnh ‘Outlook.exe /cleanrules’.
  2. Giữ phím Shift khi khởi động Outlook để tạo hồ sơ mới, nhưng chỉ khi cần thiết. Trên hộp thoại Bộ chọn hồ sơ, nhấp vào Tùy chọn, chọn “Nhắc sử dụng hồ sơ”, sau đó nhấp vào “Mới” và tiếp tục thực hiện các lời nhắc.
  3. Nếu bạn vẫn gặp sự cố, hãy truy cập Outlook Web Access và xóa tất cả các quy tắc email theo cách thủ công.

Tuần này, Redmond cũng chia sẻ cách giải quyết sự cố chặn khách hàng Microsoft 365 đăng nhập hoặc thêm tài khoản Gmail trong Outlook cổ điển.

Ba ngày sau, công ty cũng cung cấp bản sửa lỗi tạm thời cho sự cố khiến các ứng dụng Microsoft 365 như Outlook, Word và OneNote gặp sự cố khi nhập hoặc kiểm tra chính tả văn bản .

Nguồn bleepingcomputer.com