Explotación de la vulnerabilidad de Outlook (CVE-2024-21413): Explicación y PoC
Recientemente, se ha descubierto una vulnerabilidad crítica en Microsoft Outlook, catalogada bajo el código CVE-2024-21413 denominado error MonikerLink. Esta vulnerabilidad permite a un atacante ejecutar código de manera remota (RCE) al abrir un correo electrónico con enlaces maliciosos, afectando a varias versiones de Microsoft Outlook.
El problema está en que, al hacer clic en uno de estos enlaces manipulados, el dispositivo del usuario se conecta a otro sistema, controlado por un atacante con malas intenciones. Lo que provoca el robo de credenciales NTLM.
Outlook puede analizar hipervínculos como HTTP y HTTPS. Sin embargo, también puede abrir URL que especifiquen aplicaciones conocidas. Normalmente, Outlook generará una advertencia de seguridad cuando sea externo:
Esta ventana emergente es el resultado de la «Vista protegida de Outlook«. Protected View abre correos electrónicos que contienen archivos adjuntos, hipervínculos y contenido similar en modo de solo lectura, bloqueando cosas como macros.
El fallo encontrado en Microsoft Outlook corresponde a la operación donde el software gestiona la ejecución de hipervínculos dentro de los correos electrónicos. Los investigadores descubrieron que ciertos enlaces, que utilizan el modo «file://», podrían alterarse para incluir una dirección específica. Al usar el «file://» Moniker Link en nuestro hipervínculo, podemos indicar un Outlook que intenta acceder a un archivo, como un archivo compartido en red. Se utiliza el protocolo SMB, que implica el uso de credenciales locales para autenticación. Sin embargo, la «Vista protegida» de Outlook capta y bloquea este intento.
Nosotros, como atacantes, podemos proporcionar un Moniker Link para el ataque. Teniendo en cuenta que la acción no necesita existir en el dispositivo remoto, ya que se intentará un intento de autenticación independientemente, lo que llevará al envío del hash NTLMv2 de Windows de la víctima al atacante.
La ejecución remota de código (RCE) es posible porque Moniker Links usa el modelo de objeto componente (COM) en Windows.
PoC
Para este ataque utilizaremos el laboratorio de Try Hack Me, enviaremos a nuestra víctima por correo electrónico un Moniker Link similar al proporcionado anteriormente . El objetivo, como atacante, es crear un correo electrónico para la víctima con un enlace Moniker que pase por alto la «Vista protegida» de Outlook, donde el cliente de la víctima intentará cargar un archivo desde nuestra máquina atacante, lo que resultará en la captura del hash NTLMv2 de la víctima. .
Y vemos que como explicamos anteriormente que «file://» a sido alterado para incluir una dirección IP. Al usar el «file://» en nuestro hipervínculo, podemos indicar a Outlook que intenta acceder a un archivo, como un archivo en una red compartida, por lo que se utiliza el protocolo SMB, que implica el uso de credenciales locales para autenticación.
Volviendo a nuestra Servidor SMB vemos que efectivamente hemos obtenido el hash NTLMv2

