CVE-2025-21298 Detecção: Vulnerabilidade Crítica Sem Clique OLE no Microsoft Outlook Resulta em Execução Remota de Código
Índice:
Logo após a divulgação de uma vulnerabilidade de negação de serviço (DoS) no Windows LDAP, conhecida como CVE-2024-49113 também conhecida como LDAPNightmare, surge outra vulnerabilidade altamente crítica afetando produtos da Microsoft. A vulnerabilidade recentemente corrigida no Microsoft Outlook, monitorada como CVE-2025-21298, apresenta riscos significativos à segurança do e-mail ao permitir que atacantes realizem RCE em dispositivos Windows através de um e-mail especialmente criado.
Detecte Tentativas de Exploração do CVE-2025-21298 com a Regra Sigma Gratuita da SOC Prime
Apenas em janeiro de 2025, 2.560 vulnerabilidades foram identificadas, tornando o início do ano um período particularmente arriscado devido ao aumento de vulnerabilidades sob exploração ativa. Exemplos notáveis incluem CVE-2024-49112, CVE-2024-55591, e CVE-2024-49113.
Intensificando ainda mais a urgência, o CVE-2025-21298—uma falha zero-click com pontuação de gravidade 9.8 que resulta em execução remota de código (RCE) em instâncias afetadas—foi divulgado, apresentando uma ameaça severa que requer ação imediata. Plataforma SOC Prime para defesa cibernética coletiva oferece uma regra Sigma gratuita para detectar tentativas de exploração a tempo.
MS Office Lança Arquivos Suspeitos (via file_event)
Esta regra ajuda a identificar sistemas interagindo com .rtf arquivos ou outros tipos de arquivos suspeitos comumente associados à exploração de OLE, com foco adicional na correção de hosts que processam ativamente extensões de alto risco (por exemplo, .rtf, .dll, .exe). A detecção é compatível com várias soluções de SIEM, EDR e Data Lake e mapeada para MITRE ATT&CK, abordando a técnica de Exploração para Execução de Cliente (T1203) e a sub-técnica de Phishing: Anexo de Spearphishing (T1566.001). Além disso, a regra é enriquecida com metadados extensos, incluindo referências CTI, cronogramas de ataque e mais.
Profissionais de segurança que buscam mais conteúdo relevante sobre tentativas de exploração de vulnerabilidades podem rastrear novas regras adicionadas ao Threat Detection Marketplace com a tag CVE-2025-21298. Além disso, defensores cibernéticos podem acessar todo o conjunto de detecção voltado para a detecção proativa de exploração de vulnerabilidades ao clicar no botão Explorar Detecções abaixo.
Análise do CVE-2025-21298
CVE-2025-21298, uma vulnerabilidade crítica de RCE zero-click abordada na última atualização Patch Tuesday da Microsoft em 2025, é classificada com uma pontuação de 9.8 com base no CVSS. A falha pode ser acionada por um documento RTF maligno, frequentemente enviado como anexo ou link em campanhas de phishing projetadas para induzir as vítimas a abri-los.
A vulnerabilidade existe no Windows OLE, uma tecnologia que permite a incorporação e vinculação de documentos e objetos. De acordo com a Microsoft, a exploração pode ocorrer se uma vítima abrir ou visualizar um e-mail especialmente criado no Outlook. Os atacantes armam essa falha enviando um e-mail malicioso, e simplesmente abrir ou visualizar o e-mail no Outlook pode disparar a RCE no sistema alvo.
Os defensores consideram o CVE-2025-21298 uma grande ameaça para as organizações devido à sua baixa complexidade de ataque e baixo nível de interação do usuário. Após a exploração bem-sucedida, a vulnerabilidade pode causar comprometimento total do sistema, permitindo que os atacantes executem código arbitrário, instalem software ofensivo, modifiquem ou excluam dados e acessem informações sensíveis.
Como medidas potenciais de mitigação do CVE-2025-21298, é imperativo aplicar o patch imediatamente, especialmente quando se trata de clientes de e-mail como o Outlook. Para organizações incapazes de instalar as atualizações necessárias, os defensores recomendam usar a solução alternativa fornecida pela Microsoft para abrir arquivos RTF de fontes desconhecidas em formato de texto simples. Confie na Plataforma SOC Prime para uma exploração proativa de vulnerabilidades e uma defesa preparada para o futuro contra qualquer ameaça cibernética emergente, usando um conjunto completo de produtos para detecção avançada de ameaças, caça automática de ameaças e engenharia de detecção orientada por inteligência.
