Outlook高危远程代码执行缝隙，GA黄金甲提供解决规划

颁布功夫 2024-02-23

Microsoft Office Outlook是微软开发的办公软件套装中的一个组件，重要职能是收发电子邮件，同时拥有治理联系人信息、铺排日程、分配工作等职能。

缝隙详情

近日，GA黄金甲金睛安全钻研团队监测到微软仲春份安全补丁中一个CVSS评分为9.8的缝隙（Microsoft Outlook远程代码执行缝隙CVE-2024-21413）POC被公开。
经过钻研确认，该缝隙绕过了Outlook中的安全限度，导致攻击者只需发送一个垂钓邮件，即可在受害者无需任何交互的情况下泄露其NTLM身份痛处信息。通过进一步的破解或者NTLM relay攻击，即可伪造受害者身份进行认证，从而获取对应权限。同时该缝隙在和肆意COM缝隙结合使用(如CVE-2022-30190)的时辰，攻击者只需诱导受害者点击链接，即可在用户电脑上执行肆意代码。
该缝隙利用难度较低，与去年被APT28组织频仍利用的Microsoft Outlook 权限提升缝隙(CVE-2023-23397)的攻击场景类似，后续被利用的可能性较高。目前官方已颁布安全更新，建议客户积极做好排查和防护。

GA黄金甲·(中国区)官方网站

影响版本

Microsoft Office LTSC 2021 for 32-bit/64-bit editions

Microsoft Office 2019 for 32-bit/64-bit editions

Microsoft Office 2016 (32-bit/64-bit edition)

Microsoft 365 Apps for Enterprise for 32-bit/64-bit System

缝隙复现

目前已成功复现两种攻击场景。

1、NTLM泄露

GA黄金甲·(中国区)官方网站

2、结合其他缝隙触发RCE

GA黄金甲·(中国区)官方网站

解决规划

1、官方建复规划

官方已颁布安全更新，建议将受影响的office升级至最新版本：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413，并且在升级之前不要等闲点击邮件中的链接或附件。

2、GA黄金甲解决规划

天阗入侵检测与治理系统、天阗超融合检测探针（CSP）、天阗威胁分析一体机（TAR）、天清入侵防御系统（IPS）可有效防护CVE-2024-21413缝隙造成的攻击风险。此表，天阗威胁分析一体机（TAR）内置沙箱检测职能，升级到最新补丁可有效检测利用该缝隙的恶意邮件。

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研