PoC Released for Outlook “MonikerLink” RCE Flaw Allowing Remote Code Execution
By Divya
December 1, 2025
安全研究人员发布了一个针对 CVE-2024-21413 的概念验证(PoC)漏洞利用程序。这是一个在 Microsoft Outlook 中被命名为“MonikerLink”的严重远程代码执行漏洞。该漏洞使攻击者能够通过特制的电子邮件在受害者的系统上执行任意代码,给全球组织机构带来了严重的风险。
漏洞详情
| 字段 | 详情 |
|---|---|
| CVE ID | CVE-2024-21413 |
| 漏洞名称 | MonikerLink Bug |
| CVSS 评分 | 9.8 |
| 严重等级 | 严重 |
| CWE ID | CWE-20(输入验证不当) |
| 漏洞类型 | 远程代码执行 |
漏洞概述
MonikerLink 漏洞影响 Microsoft Outlook 处理电子邮件中某些超链接的方式。该漏洞由 Check Point Research 发现,允许攻击者通过在电子邮件超链接的文件路径中添加特殊感叹号(“!”)字符,来绕过 Outlook 的安全限制。当用户点击格式为 file:///\\IP\test\test.rtf!something 的恶意链接时,Outlook 会将其视为“Moniker Link”,并通过 Windows COM API 进行处理,从而绕过常规安全警告。
该漏洞为威胁行为者提供了多种攻击机会。成功利用可导致本地 NTLM 凭据泄露,攻击者可利用这些凭据进一步危害网络。更令人担忧的是,攻击者能够在不触发“受保护的视图”的情况下实现完全的远程代码执行。此安全功能本应以受限模式打开潜在危险的文件。
该 PoC 漏洞利用代码已在 GitHub 上发布,展示了攻击者如何制作恶意电子邮件,在 Outlook 预览窗格中通过零点击利用来窃取 NTLM 哈希。该利用程序使用 SMTP 身份验证发送可绕过 SPF、DKIM 和 DMARC 安全检查的电子邮件,模拟了真实的攻击条件。
确认已被积极利用
CISA 已于 2025 年 2 月将 CVE-2024-21413 添加到其“已知被利用漏洞目录”,确认其在野外被积极利用。该机构已强制要求联邦机构在指定截止日期前应用补丁,并建议所有组织立即优先进行修复。
组织可以使用多种方法检测利用尝试。安全研究员 Florian Roth 开发了 YARA 规则,用于识别包含恶意 file:\\ 元素模式的电子邮件。使用 Wireshark 进行网络监控也可以捕获表明 NTLM 凭据窃取企图的可疑 SMB 流量。
微软在 2024 年 2 月的“补丁星期二”发布了安全更新以修复此漏洞。组织应立即在所有受影响的 Microsoft Office 安装上应用这些补丁。对于补丁部署延迟的环境,关闭发往外部地址的出站 SMB 流量可提供临时缓解措施。
Check Point 的研究人员警告说,MonikerLink 漏洞的影响范围超出了 Outlook。其根本问题源于对 Windows COM API(特别是 MkParseDisplayName() 和 MkParseDisplayNameEx())的不安全使用,这可能使其他应用程序同样易受攻击。这使该漏洞成为一个系统性的 Windows 生态系统问题,其影响堪比曾经影响 Java 环境的 Log4j 漏洞。