Pesquisadores de segurança lançaram uma exploração de prova de conceito (PoC) para CVE-2024-21413, uma vulnerabilidade crítica de execução remota de código no Microsoft Outlook apelidada de “MonikerLink”.
Essa falha permite que invasores executem código arbitrário nos sistemas das vítimas por meio de e-mails especialmente criados, representando um sério risco para organizações em todo o mundo.
| Campo | Detalhes |
|---|---|
| ID do CVE | CVE-2024-21413 |
| Nome da vulnerabilidade | Bug do MonikerLink |
| Pontuação CVSS | 9,8 |
| Gravidade | Crítico |
| ID do CWE | CWE-20 (validação de entrada inadequada) |
| Tipo de vulnerabilidade | Execução Remota de Código (RCE) |
Visão geral da vulnerabilidade
A vulnerabilidade MonikerLink afeta como Microsoft Outlook processa determinados hiperlinks em e-mails.
Descoberta pela Check Point Research, a falha permite que invasores contornem as restrições de segurança do Outlook adicionando um caractere de exclamação especial (“!”) aos caminhos de arquivos em hiperlinks de e-mail.
Quando os usuários clicam em links maliciosos formatados comofile:///IPtesttest.rtf!something, o Outlook os trata como “Links Moniker” e os processa por meio de APIs COM do Windows, ignorando avisos de segurança regulares.
A vulnerabilidade apresenta múltiplas oportunidades de ataque para os atores da ameaça. A exploração bem-sucedida pode resultar no vazamento de credenciais NTLM locais, que os invasores podem usar para comprometer ainda mais a rede.
Mais preocupante é a capacidade de obter execução remota completa de código sem acionar o Protected View. Este recurso de segurança abre arquivos potencialmente perigosos em modo restrito.
A exploração PoC, disponível em GitHubdemonstra como os invasores podem criar e-mails maliciosos que roubam hashes NTLM com exploração sem clique no painel de visualização do Outlook.
A exploração usa autenticação SMTP para enviar e-mails que ignoram as verificações de segurança SPF, DKIM e DMARC, simulando condições de ataque do mundo real.
Exploração ativa confirmada
A CISA adicionou CVE-2024-21413 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em fevereiro de 2025, confirmando a exploração ativa em estado selvagem.
A agência determinou que as agências federais apliquem patches dentro do prazo designado e recomenda que todas as organizações priorizem a remediação imediatamente.
As organizações podem detectar tentativas de exploração usando vários métodos. O pesquisador de segurança Florian Roth desenvolveu regras YARA que identificam e-mails contendo o padrão maliciosofile:element.
O monitoramento de rede com o Wireshark também pode capturar tráfego SMB suspeito, indicativo de Roubo de credenciais NTLM tentativas.
A Microsoft lançou atualizações de segurança durante o Patch Tuesday de fevereiro de 2024 para resolver esta vulnerabilidade.
As organizações devem aplicar imediatamente esses patches em todas as instalações afetadas do Microsoft Office.
Para ambientes onde a aplicação de patches está atrasada, desligar o tráfego SMB de saída para endereços externos fornece mitigação temporária.
Os pesquisadores da Check Point alertam que a vulnerabilidade do MonikerLink se estende além do Outlook. O problema subjacente decorre do uso inseguro de APIs COM do Windows, especificamente MkParseDisplayName() e MkParseDisplayNameEx(), que podem tornar outros aplicativos igualmente vulneráveis.
Isso posiciona o bug como um problema sistêmico do ecossistema Windows comparável à vulnerabilidade Log4j que afetou ambientes Java.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.