Write-Up Moniker Link (CVE-2024-21413) [THM] - Microsoft Outlook Remote Code Execution

Pada tanggal 13 Februari 2024, Microsoft mengumumkan kerentanan Microsoft Outlook RCE & kebocoran kredensial dengan CVE yang ditugaskan sebagai CVE-2024-21413 (Moniker Link). Haifei Li dari Check Point Research diakui sebagai penemu kerentanan tersebut. Kerentanan ini melewati mekanisme keamanan Outlook saat menangani jenis tautan tertentu yang dikenal sebagai Moniker Link. Seorang penyerang dapat menyalahgunakan ini dengan mengirimkan email yang berisi Moniker Link berbahaya kepada korban, yang menyebabkan Outlook mengirimkan kredensial NTLM pengguna ke penyerang begitu tautan diklik. NTLM sendiri gampangnya adalah sandi yang digunakan untuk login kedalam PC. Versi Outlook yang terdampak CVE-2024-21413 adalah versi berikut

Kalo kalian mau belajar exploitasi CVE-2024-21413 ini bisa main dilab tryhackme.

Tutorial Exploitasi CVE-2024-21413

1.Pertama buat exploitnya dengan mengubah beberapa variable di script python yang sudah diberikan seperti: Machine IP, SMTP IP dan Port. Ada satu hal yang menarik disini yaitu penggunaan tanda ! dibelakang link untuk melakukan bypass protected view. Nakanosec sendiri juga belum melakukan research lebih lanjut untuk melihat apakah ini bisa diterapkan di case lain atau hanya special case untuk outlook ini.

 

3.Berikutnya jalankan responder dengan command responder -I ens5 , Responder sendiri adalah sebuah alat yang dapat memalsukan (poisoner) protokol LLMNR, NBT-NS, dan MDNS

4.Jalankan dengan python3 exploit tersebut

5.Check pada inbox outlook dan klik hyperlink yang masuk pada email victim

6.Kemudian check responder setelah hyperlink diklik dan akan didapati ntlm hash, copy semua value dari NTLMv2-SSP Hash kedalam file hash.txt

7.Untuk melakukan cracking NTLM hash dapat menggunakan tools john the ripper dengan command seperti pada gambar