FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

针对微软Outlook高危远程代码执行（RCE）漏洞（CVE-2024-21413）的概念验证（PoC）利用代码已被公开。该漏洞被命名为"MonikerLink"，攻击者可借此绕过Outlook的安全机制（特别是"受保护的视图"）来执行恶意代码或窃取凭证。PoC的发布凸显了该漏洞持续存在的风险，同时也为安全专业人员理解攻击途径提供了训练工具。

漏洞技术细节

该漏洞CVSS评分为9.8分，源于微软Outlook解析特定超链接（称为"Moniker Links"）的方式。通常情况下，Outlook的"受保护的视图"会通过以只读模式打开来自互联网的文件等潜在有害内容来提供保护。然而，MonikerLink漏洞允许攻击者通过在特制链接中使用file://协议后跟感叹号和附加文本来绕过这种保护。

当受害者点击此链接时，Outlook会在没有常规安全警告的情况下尝试访问资源。此操作可能触发与攻击者控制服务器的SMB连接，导致受害者本地NTLM凭证泄露。在更严重的情况下，这种绕过机制可促成远程代码执行，使攻击者获得对受感染系统的重大控制权。

PoC利用演示

新发布的基于Python的PoC已在GitHub上公开，演示了如何在受控实验室环境中利用此漏洞。该脚本设计用于特定配置（涉及hMailServer），并针对运行易受攻击版本Outlook的受害者用户。它能自动发送包含Moniker Link的恶意电子邮件到受害者收件箱。

PoC作者指出，该脚本假设了特定配置（如未启用TLS认证）以简化教育用途的测试过程。虽然代码较为基础且面向特定受众（可能是TryHackMe平台"MonikerLink"房间的用户），但它有效展示了攻击机制。对于寻求更高级或完善利用工具的用户，作者引用了安全研究员Xaitax等其他资源库。

缓解措施

防御者可通过监控电子邮件流量中的特定模式来检测利用此漏洞的尝试。安全研究员Florian Roth已发布YARA规则，旨在识别包含利用中使用的file:\\元素的电子邮件。该规则可帮助组织在可疑邮件到达最终用户前标记可能利用MonikerLink漏洞的邮件。

微软已发布官方更新修复CVE-2024-21413，强烈建议各组织立即应用这些补丁。公开利用代码的可用性（即使出于教育目的）增加了威胁行为者采用类似技术的可能性。安全团队应确保所有Microsoft Office实例均为最新版本，并考虑阻止出站SMB流量（端口445）以防止NTLM凭证泄露到外部服务器。

参考来源：

PoC Exploit Released for Critical Outlook 0-Click Remote Code Execution Vulnerability

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）