Moniker Link (CVE-2024-21413)

Enllaç de sobrenom (CVE-2024-21413)

Celia Catalán



El 13 de febrer del 2024, Microsoft va notificar sobre una vulnerabilitat en la seva aplicació Outlook. A aquesta vulnerabilitat se la identifico amb el CVE-2024-21413, la criticitat del qual es va catalogar amb un 9.8 (crítica). Les versions afectades són:

Edició Versió
Microsoft Office LTSC 2021 Afectat des de la versió 19.0.0
Aplicacions de Microsoft 365 per a empreses Afectat des de la versió 16.0.1
Microsoft Office 2019 Afectat des de la versió 16.0.1

Aquesta vulnerabilitat és possible evitant l'opció vista protegida (Protected View) d'Outlook, una característica que ens limita l'accés de lectura, evitant així que s'executin scripts maliciosos com a macros al sistema.

La vulnerabilitat evita els mecanismes de seguretat d'Outlook usant un tipus específic de hyperlink anomenat Moniker Link, cosa que dóna el nom a la vulnerabilitat. L'atacant pot explotar aquesta vulnerabilitat enviant un correu electrònic que contingui el Moniker Link a una víctima. Quan la víctima fa clic a l'enllaç, envia les credencials NetNTLMv2 a l'atacant.  

Dins un entorn controlat va ser possible replicar la vulnerabilitat pas a pas. El primer pas per comprendre la vulnerabilitat és saber que mitjançant l'ús del Moniker Link: file:// a l'Outlook es pot fer que la víctima intenti accedir a un fitxer en una xarxa compartida. Per això s'usa el protocol SMB el qual necessita les credencials de l'usuari, per la qual cosa la Protected View d'Outlook bloqueja el link. Tot i això, mitjançant l'ús de caràcter “!” es pot evitar aquesta mesura de seguretat dOutlook. El codi resultant per poder explotar la vulnerabilitat seria:


Un cop comprès això, el següent a realitzar és aixecar un SMB listener a la màquina de l'atacant.


Unit a això, creem un arxiu, on introduirem el codi de l'exploit, el qual es pot trobar fàcilment a github (https://github.com/CMNatic/CVE-2024-21413).


Modificacions per realitzar:
  • Modificar el Moniker link a la línia 12 per reflectir la IP de la màquina de l'atacant
  • Canviar el MAILSERVER de la línia 31 per la IP de la màquina

Un cop s'han fet tots els canvis, es desa l'script i s'executa. Quan l'usuari inconscient fa clic a l'hiperenllaç, intenteu connectar-vos a un recurs compartit de xarxa inexistent. Com a tal, podem capturar el hash NetNTLMv2 perquè en fer clic s'intenta una connexió.



Amb això ja s'hauria completat l'explotació de la vulnerabilitat de Moniker Link amb èxit. 
Per evitar aquest tipus d'atacs, es recomana:
  • No fer clic a emails l'origen dels quals no coneixem
  • Previsualitzar els emails abans de fer clic a enllaços sospitosos
I fins aquí el post per avui, gràcies pel temps i fins a la propera!

Jorge Ezequiel de Francisco , Analista de Ciberseguretat a Zerolynx .
Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.