PoC Exploit Released for Critical Outlook 0-Click Remote Code Execution Vulnerability

By Guru Baran - December 1, 2025

针对Microsoft Outlook中一个被标记为CVE-2024-21413的严重远程代码执行（RCE）漏洞，概念验证（PoC）利用代码已被发布。

该漏洞被命名为“MonikerLink”，允许攻击者绕过Outlook的安全机制（特别是“受保护的视图”）来执行恶意代码或窃取凭证。此PoC的发布凸显了该漏洞带来的持续风险，并可作为安全专业人员理解攻击途径的培训工具。

该漏洞的CVSS评分为9.8分，问题根源在于Microsoft Outlook解析特定超链接（称为“Moniker Links”）的方式。通常，Outlook的“受保护的视图”会通过以只读模式打开来自互联网的文件等方式，来限制潜在有害内容。然而，MonikerLink漏洞使攻击者能够通过在精心构造的链接中使用file://协议，后跟感叹号和附加文本来绕过此保护。

当受害者点击此链接时，Outlook会在没有通常的安全警告的情况下尝试访问资源。此操作可能触发向攻击者控制的服务器发起的SMB连接，从而导致受害者的本地NTLM凭证泄露。在更严重的情况下，此绕过可促成远程代码执行，使攻击者能够显著控制受感染系统。

新发布的基于Python的PoC可在GitHub上获取，它演示了如何在受控实验室环境中利用此漏洞。该脚本设计用于涉及hMailServer的特定设置，并针对运行易受攻击版本Outlook的受害者用户。它自动化了向受害者收件箱发送包含Moniker Link的恶意电子邮件的过程。

PoC的作者指出，为了简化教育目的测试过程，该脚本假设了特定的配置，例如没有TLS身份验证。虽然该代码基础且面向特定受众（可能是TryHackMe平台上“MonikerLink”房间的用户），但它有效地说明了攻击机制。对于那些寻求更高级或更成熟的利用工具的人，作者参考了其他资源库，例如安全研究员Xaitax的仓库。

缓解措施

防御者可以通过监控电子邮件流量中的特定模式来检测利用此漏洞的尝试。安全研究员Florian Roth发布了一条YARA规则，旨在识别包含利用中使用的file:\\元素的电子邮件。此规则可帮助组织在可疑邮件到达最终用户之前，标记出可能试图利用MonikerLink漏洞的邮件。

微软已发布官方更新来解决CVE-2024-21413，强烈建议各组织立即应用这些补丁。公开利用代码的可用性（即使出于教育目的）也增加了威胁行为者采用类似技术的可能性。安全团队应确保所有Microsoft Office实例都已更新，并考虑阻止出站SMB流量（端口445），以防止NTLM凭证泄露到外部服务器。

请关注我们的Google新闻、LinkedIn和X，获取每日网络安全更新。请联系我们以展示您的故事。