Microsoft ha emitido una seria advertencia sobre una vulnerabilidad crítica en Outlook que podría ser explotada por atacantes remotos sin autenticación de manera trivial. Esta vulnerabilidad, identificada como CVE-2024-21413 y descubierta por el investigador de vulnerabilidades de Check Point, Haifei Li, permite la ejecución remota de código (RCE) al abrir correos electrónicos con enlaces maliciosos utilizando una versión vulnerable de Microsoft Outlook.
Lo alarmante es que esta falla también permite a los atacantes evitar la Vista Protegida de Office, diseñada para bloquear contenido dañino incrustado en archivos de Office al abrirlos en modo de solo lectura, lo que posibilita la apertura de archivos de Office maliciosos en modo de edición.
Microsoft ha confirmado que el Panel de Vista Previa es un vector de ataque para esta vulnerabilidad, lo que permite la explotación exitosa incluso al previsualizar documentos de Office manipulados maliciosamente.
Los atacantes pueden explotar CVE-2024-21413 de manera remota en ataques de baja complejidad que no requieren interacción del usuario. Esto podría resultar en la obtención de privilegios elevados, incluidas funcionalidades de lectura, escritura y eliminación.
La vulnerabilidad, bautizada como “Moniker Link” por Check Point, permite a los atacantes evadir las protecciones integradas de Outlook para enlaces maliciosos incrustados en correos electrónicos utilizando el protocolo file:// y añadiendo un signo de exclamación a las URL que apuntan a servidores controlados por los atacantes.
Esta técnica de hiperenlace evita las restricciones de seguridad de Outlook, lo que hace que Outlook acceda al recurso remoto especificado sin mostrar advertencias ni errores.
La gravedad de los ataques que aprovechan con éxito CVE-2024-21413 incluye el robo de información de credenciales NTLM y la ejecución de código arbitrario mediante documentos de Office manipulados maliciosamente.
Check Point ha confirmado que esta vulnerabilidad también afecta a entornos Windows 10/11 y Microsoft 365 (Office 2021) más recientes, y es probable que otras ediciones/versiones de Office también se vean afectadas.
Dado que esta vulnerabilidad representa una seria amenaza para la seguridad, es crucial que todos los usuarios de Outlook apliquen el parche oficial lo antes posible.
Microsoft actualizó hoy la advertencia de seguridad de CVE-2024-21413 para alertar que esta vulnerabilidad en Outlook también fue explotada en ataques como un día cero antes del último martes de parches. Sin embargo, la compañía revirtió el cambio, indicando que “actualizó erróneamente la bandera de explotación y la evaluación de la explotabilidad para indicar que existía explotación”.
