Các nhà nghiên cứu bảo mật vừa công bố bằng chứng khái niệm (PoC) cho lỗ hổng thực thi mã từ xa nghiêm trọng CVE-2024-21413 trong Microsoft Outlook, được gọi là “MonikerLink”. Lỗ hổng có điểm CVSS 9.8 này cho phép hacker thực thi mã tùy ý trên hệ thống nạn nhân thông qua email độc hại, đồng thời CISA đã xác nhận lỗ hổng đang bị khai thác tích cực trên diện rộng.

Lỗ hổng, được phát hiện bởi Check Point Research, nằm ở cơ chế xử lý siêu liên kết của Microsoft Outlook. Kẻ tấn công lợi dụng việc thêm ký tự đặc biệt “!” vào đường dẫn file trong liên kết (file:///\IP\test\test.rtf!something) để bỏ qua các hạn chế bảo mật của Outlook. Bằng cách này, liên kết độc hại sẽ được xử lý như một “Moniker Link” thông qua các Windows COM APIs (MkParseDisplayName), cho phép các cuộc tấn công tinh vi mà không kích hoạt chế độ xem hạn chế Protected View.

Mối lo ngại lớn nhất là khả năng thực hiện tấn công zero-click (không cần tương tác) thông qua cửa sổ xem trước của Outlook. Việc khai thác không chỉ dẫn đến rò rỉ NTLM credentials của người dùng – vốn có thể được dùng để xâm nhập sâu hơn vào mạng lưới, mà còn có thể dẫn đến RCE hoàn toàn. PoC exploit đã được công bố trên GitHub cho thấy kẻ tấn công có thể sử dụng xác thực SMTP để gửi email bypass các kiểm tra bảo mật email như SPF, DKIM, DMARC, mô phỏng điều kiện tấn công ngoài đời thực.

CISA đã thêm CVE-2024-21413 vào danh mục KEV vào tháng 2/2025 và yêu cầu các cơ quan liên bang khẩn trương vá lỗi. Microsoft đã phát hành bản cập nhật an ninh để giải quyết vấn đề này trong tháng 2/2024. Các tổ chức được khuyến nghị mạnh mẽ áp dụng bản vá ngay lập tức cho tất cả các cài đặt Microsoft Office bị ảnh hưởng. Nếu việc vá lỗi bị trì hoãn, một biện pháp giảm thiểu tạm thời là tắt outbound SMB traffic tới các địa chỉ bên ngoài. Các nhà nghiên cứu cảnh báo rằng vấn đề cốt lõi liên quan đến Windows COM APIs có thể khiến các ứng dụng Windows khác cũng dễ bị tấn công tương tự.