继 Windows LDAP 中名为 CVE-2024-49113 又名 LDAPNightmare 的拒绝服务（DoS）漏洞被披露之后，又一个影响微软产品的高危漏洞出现了。最近修补的 Microsoft Outlook 漏洞被跟踪为 CVE-2025-21298，允许攻击者通过特制的电子邮件在 Windows 设备上执行 RCE，从而构成重大的电子邮件安全风险。

使用 SOC Prime 的免费 Sigma 规则检测 CVE-2025-21298 漏洞利用尝试

仅 2025 年 1 月就发现了 2,560 个漏洞，由于正在被利用的漏洞激增，年初成为了一个特别高风险的时期。显著的例子包括 CVE-2024-49112、CVE-2024-55591 和 CVE-2024-49113。

CVE-2025-21298–一个零点击漏洞，严重程度为 9.8 级，可导致受影响实例的远程代码执行 (RCE)–的披露进一步加剧了紧迫性，构成了需要立即采取行动的严重威胁。用于集体网络防御的 SOC Prime Platform 提供免费的 Sigma 规则，可及时发现利用企图。

MS Office 丢弃可疑文件（通过 file_event）

该规则有助于识别与 .rtf 文件或其他通常与 OLE 利用相关联的可疑文件类型进行交互的系统，并进一步关注对主动处理高风险扩展名（如 .rtf、.dll、.exe）的主机进行修补。该检测与多个 SIEM、EDR 和 Data Lake 解决方案兼容，并映射到 MITRE ATT&CK，解决客户端执行漏洞利用 (T1203) 技术和网络钓鱼：鱼叉式网络钓鱼附件 (T1566.001) 子技术。此外，该规则还丰富了大量元数据，包括 CTI 引用、攻击时间表等。

安全专业人员在寻找针对漏洞利用尝试的更多相关内容时，可以跟踪添加到威胁检测市场的带有 CVE-2025-21298 标记的任何新规则。此外，网络防御者还可以点击下面的 “探索检测 ”按钮，访问整个检测堆栈，以主动检测漏洞利用情况。

CVE-2025-21298 分析

CVE-2025-21298是微软最新的2025补丁星期二更新中解决的一个关键零点击RCE漏洞，根据CVSS评分被评为9.8分。该漏洞可由有害的 RTF 文档触发，这些文档通常在网络钓鱼活动中作为附件或链接发送，目的是诱使受害者打开这些文档。

该漏洞存在于 Windows OLE 中，该技术可实现文档和对象的嵌入和链接。据微软称，如果受害者在 Outlook 中打开或预览特制的电子邮件，就会被利用。攻击者通过发送恶意电子邮件来利用这一漏洞，只要在 Outlook 中打开或预览电子邮件，就会在目标系统上触发 RCE。

防御者认为，CVE-2025-21298 是对企业的一个重大威胁，因为它的攻击复杂性低，用户交互水平低。该漏洞一旦被成功利用，就会导致系统完全崩溃，攻击者就可以执行任意代码、安装攻击性软件、修改或删除数据以及访问敏感信息。

作为潜在的 CVE-2025-21298 缓解措施，当务之急是立即应用补丁，尤其是在涉及 Outlook 等电子邮件客户端时。对于无法安装所需更新的组织，防御者建议使用微软提供的变通方法，以纯文本格式打开未知来源的 RTF 文件。依靠 SOC Prime Platform，利用先进的威胁检测、自动威胁捕猎和智能驱动的检测工程的完整产品套件，积极主动地利用漏洞，并针对任何新出现的网络威胁进行面向未来的防御。

文章原文链接:https://www.anquanke.com/post/id/303716