Добро пожаловать обратно, мои начинающие кибервоины!
На протяжении многих лет операционная система Microsoft Windows, самая распространённая в мире, изобиловала уязвимостями безопасности. С годами, по мере того как Microsoft всё больше внимания уделяла безопасности, число критических уязвимостей уменьшалось, но время от времени мы обнаруживаем новые, которые делают весь мир уязвимым. И вот сейчас как раз такой случай.
Во время недавнего выпуска патчей «Вторник обновлений» компания Microsoft выпустила критическое исправление, закрывающее высокорисковую уязвимость CVE-2025-21298 . Эта уязвимость безопасности, имеющая почти максимальный рейтинг серьёзности по шкале CVSS — 9,8, позволяет злоумышленникам удалённо выполнять вредоносный код в системах Windows, просто отправив специально созданный файл. Эта проблема напрямую затрагивает Microsoft Word и Outlook. Давайте рассмотрим, как эта уязвимость проявляется.
Уязвимость кроется в функции UtOlePresStmToContentsStm библиотеки ole32.dll , которая обрабатывает OLE-объекты, встроенные в электронные письма и файлы. При отображении этих объектов Outlook или Word вызывает эту функцию для преобразования данных между потоками хранения. Это создаёт идеальный вектор атаки, поскольку почтовые клиенты и текстовые процессоры автоматически обрабатывают эти объекты во время предварительного просмотра, не требуя взаимодействия с пользователем.
Чтобы понять, почему это особенно опасно, представьте, что вы открываете свой почтовый ящик. Панель предварительного просмотра автоматически загружает письма, и если вредоносное письмо содержит специально созданный OLE-объект, уязвимость срабатывает ещё до того, как вы нажмёте на сообщение.
Процесс начинается, например, когда Outlook начинает обрабатывать встроенный OLE-объект в электронном письме. Это происходит автоматически, когда панель предварительного просмотра отображает содержимое. Внедрённый объект запускает ole32.dll для обработки преобразования содержимого.
Затем ole32.dll создаёт в памяти новый поток CONTENTS через менеджер кучи. Это выделение памяти выполняется в соответствии со стандартными шаблонами COM-объектов, что делает её расположение в памяти относительно предсказуемым.
Первая операция освобождения памяти происходит в рамках обычной обработки, когда ole32.dll освобождает поток CONTENTS. Однако, что крайне важно, указатель на эту освобожденную память не обнуляется. Это создает так называемое окно уязвимости — период, в течение которого указатель на освобожденную память остается неактивным.
Если в течение этого периода уязвимости произойдет сбой в UtReadOlePresStmHeader , процедура очистки снова попытается освободить тот же участок памяти. Эта вторая операция освобождения повреждает структуры управления динамической памятью.
После повреждения кучи нарушается управление памятью системы, что позволяет злоумышленнику потенциально получить контроль над процессом. Поскольку это происходит в контексте Outlook, который часто работает с повышенными привилегиями, последствия особенно серьёзны.
В этом руководстве мы будем использовать RTF-файл, который вызывает повреждение памяти с помощью ynwarcs .
PoC доступен по адресу: https://github.com/ynwarcs/CVE-2025-21298/blob/main/poc/cve-2025-21298-poc.rtf
Далее откроем MS Office и подключим WinDbg к процессу:
WinDbg позволяет отслеживать операции с памятью во время обработки файла. После подключения к процессу введите g — базовую отладочную команду, означающую «go», — чтобы продолжить выполнение с текущей позиции до достижения следующей точки останова или завершения программы. Затем перетащите RTF-файл, и вы увидите сообщение о повреждении памяти.
На момент написания статьи Censys зафиксировала 482 270 уязвимых серверов Exchange и порталов Outlook Web Access.
Хотя эти серверы напрямую не уязвимы к CVE-2025-21298 (поскольку уязвимость связана с компонентом Windows OLE, а не с самими Exchange или Outlook), они демонстрируют потенциальный масштаб уязвимых систем. Для снижения рисков крайне важно уделять первоочередное внимание установке исправлений и усилению защиты этих сред.
CVE-2025-21298 — опасная уязвимость безопасности, которая позволяет злоумышленникам получить контроль над компьютерами Windows, используя только предварительный просмотр электронной почты. Учитывая, что уязвимость почти полумиллиона серверов Exchange и Outlook уязвима, организациям крайне важно немедленно установить исправление безопасности от Microsoft.
На протяжении многих лет операционная система Microsoft Windows, самая распространённая в мире, изобиловала уязвимостями безопасности. С годами, по мере того как Microsoft всё больше внимания уделяла безопасности, число критических уязвимостей уменьшалось, но время от времени мы обнаруживаем новые, которые делают весь мир уязвимым. И вот сейчас как раз такой случай.
Во время недавнего выпуска патчей «Вторник обновлений» компания Microsoft выпустила критическое исправление, закрывающее высокорисковую уязвимость CVE-2025-21298 . Эта уязвимость безопасности, имеющая почти максимальный рейтинг серьёзности по шкале CVSS — 9,8, позволяет злоумышленникам удалённо выполнять вредоносный код в системах Windows, просто отправив специально созданный файл. Эта проблема напрямую затрагивает Microsoft Word и Outlook. Давайте рассмотрим, как эта уязвимость проявляется.
Понимание поверхности атаки
Уязвимость кроется в функции UtOlePresStmToContentsStm библиотеки ole32.dll , которая обрабатывает OLE-объекты, встроенные в электронные письма и файлы. При отображении этих объектов Outlook или Word вызывает эту функцию для преобразования данных между потоками хранения. Это создаёт идеальный вектор атаки, поскольку почтовые клиенты и текстовые процессоры автоматически обрабатывают эти объекты во время предварительного просмотра, не требуя взаимодействия с пользователем.
Чтобы понять, почему это особенно опасно, представьте, что вы открываете свой почтовый ящик. Панель предварительного просмотра автоматически загружает письма, и если вредоносное письмо содержит специально созданный OLE-объект, уязвимость срабатывает ещё до того, как вы нажмёте на сообщение.
Технические детали
Процесс начинается, например, когда Outlook начинает обрабатывать встроенный OLE-объект в электронном письме. Это происходит автоматически, когда панель предварительного просмотра отображает содержимое. Внедрённый объект запускает ole32.dll для обработки преобразования содержимого.
Затем ole32.dll создаёт в памяти новый поток CONTENTS через менеджер кучи. Это выделение памяти выполняется в соответствии со стандартными шаблонами COM-объектов, что делает её расположение в памяти относительно предсказуемым.
Первая операция освобождения памяти происходит в рамках обычной обработки, когда ole32.dll освобождает поток CONTENTS. Однако, что крайне важно, указатель на эту освобожденную память не обнуляется. Это создает так называемое окно уязвимости — период, в течение которого указатель на освобожденную память остается неактивным.
Если в течение этого периода уязвимости произойдет сбой в UtReadOlePresStmHeader , процедура очистки снова попытается освободить тот же участок памяти. Эта вторая операция освобождения повреждает структуры управления динамической памятью.
После повреждения кучи нарушается управление памятью системы, что позволяет злоумышленнику потенциально получить контроль над процессом. Поскольку это происходит в контексте Outlook, который часто работает с повышенными привилегиями, последствия особенно серьёзны.
Эксплуатация
В этом руководстве мы будем использовать RTF-файл, который вызывает повреждение памяти с помощью ynwarcs .
PoC доступен по адресу: https://github.com/ynwarcs/CVE-2025-21298/blob/main/poc/cve-2025-21298-poc.rtf
Далее откроем MS Office и подключим WinDbg к процессу:
WinDbg позволяет отслеживать операции с памятью во время обработки файла. После подключения к процессу введите g — базовую отладочную команду, означающую «go», — чтобы продолжить выполнение с текущей позиции до достижения следующей точки останова или завершения программы. Затем перетащите RTF-файл, и вы увидите сообщение о повреждении памяти.
Смягчение последствий и защита
На момент написания статьи Censys зафиксировала 482 270 уязвимых серверов Exchange и порталов Outlook Web Access.
Хотя эти серверы напрямую не уязвимы к CVE-2025-21298 (поскольку уязвимость связана с компонентом Windows OLE, а не с самими Exchange или Outlook), они демонстрируют потенциальный масштаб уязвимых систем. Для снижения рисков крайне важно уделять первоочередное внимание установке исправлений и усилению защиты этих сред.
Краткое содержание
CVE-2025-21298 — опасная уязвимость безопасности, которая позволяет злоумышленникам получить контроль над компьютерами Windows, используя только предварительный просмотр электронной почты. Учитывая, что уязвимость почти полумиллиона серверов Exchange и Outlook уязвима, организациям крайне важно немедленно установить исправление безопасности от Microsoft.
