CVE-2024-21378 微软outlook RCE漏洞分析

文章预览

漏洞概述 这种攻击的原始变体由SensePost（Orange CyberDefense）的Etienne Stalmans在2017年记录，并利用Outlook表单对象中的VBScript代码以获得对邮箱的访问权限。作为回应，发布了一个补丁，以强制执行自定义表单中脚本代码的允许列表。然而，这些表单对象的同步能力从未改变。 在底层，表单使用 IPM.Microsoft.FolderDesign.FormsDescription 对象通过MAPI进行同步。这些对象携带特殊的属性和附件，用于在客户端首次使用时“安装”表单。以下是这个过程的概述： Outlook请求实例化特定的消息类（ IPM.Note.Evil ）。 相关文件夹的MAPI关联内容表被查询以获取 IPM.Microsoft.FolderDesign.FormsDescription 对象。 如果存储在 PidTagOfflineAddressBookName 属性中的类名匹配，则开始表单安装过程。 PidTagOfflineAddressBookDistinguishedName 用作新表单安装的CLSID（所有表单都是COM对象）。 表单描述的第一 ………………………………