Pour le seul mois de janvier 2025, le NIST a reçu un nombre impressionnant de 4 085 vulnérabilités, ce qui constitue un début d'année exceptionnellement risqué en raison de la montée en puissance des menaces activement exploitées. Parmi ces vulnérabilités, CVE-2025-21298 est une vulnérabilité d'exécution de code à distance (RCE) sans clic dans Microsoft Windows OLE avec un score CVSS de 9,8. Cette faille de sécurité permet aux attaquants de compromettre les systèmes simplement en incitant les utilisateurs à prévisualiser un courriel RTF malveillant dans Outlook - aucun clic n'est nécessaire.
Dans ce blog, nous disséquons les nuances techniques de cette vulnérabilité, nous explorons comment OPSWAT MetaDefender Core atténue ces menaces de type "zero-day", et nous fournissons des recommandations concrètes pour les entreprises.
Comprendre la vulnérabilité
Tirer parti d'une technique d'attaque "zéro clic
Une attaque "zéro-clic" exploite les vulnérabilités des logiciels pour lancer une attaque sans aucune interaction de la part de l'utilisateur. Cela signifie qu'un logiciel malveillant peut être installé ou que d'autres actions malveillantes peuvent être menées sur l'appareil d'un utilisateur sans que la cible ne clique sur un lien, n'ouvre un fichier ou ne fasse quoi que ce soit, ce qui rend l'attaque particulièrement dangereuse et difficile à détecter.
CVE-2025-21298 Flux d'attaque
La vulnérabilité se trouve dans le système OLE de Windows, plus précisément dans la fonction ole32.dll de la bibliothèque UtOlePresStmToContentsStm Cette fonction gère la conversion des données dans les structures de stockage OLE. Cette fonction gère la conversion des données dans les structures de stockage OLE, mais elle présente un problème de corruption de mémoire que les attaquants peuvent exploiter pour exécuter un code arbitraire.
L'attaquant transmet par courrier électronique un document RTF spécialement conçu contenant des objets OLE malveillants. Lorsqu'il atteint le système de la victime, le client de messagerie traite la pièce jointe lorsque le destinataire ouvre ou prévisualise le message dans Microsoft Outlook. Le système OLE de Windows s'engage avec des objets intégrés, en utilisant la vulnérabilité de la technologie UtOlePresStmToContentsStm pour le traitement OLE.
Au cours de cette phase, la fonction tente de convertir les données dans les structures de stockage OLE, ce qui entraîne une corruption de la mémoire. Cette corruption de la mémoire permet un RCE, donnant aux attaquants la possibilité d'exécuter des commandes arbitraires sur le système compromis avec les mêmes privilèges que l'utilisateur actuel.
Un exploit de preuve de concept pour CVE-2025-21298 a déjà été publié sur GitHub pour reproduire cette attaque.
Prévenir les vulnérabilités de type Zero-Day avec OPSWAT MetaDefender Core
Les vulnérabilités de type "zéro jour" représentent les menaces les plus difficiles à gérer dans le domaine de la cybersécurité moderne, car elles apparaissent de manière inattendue et peuvent être exploitées avant que les fournisseurs n'aient le temps de publier des correctifs. Ces failles critiques permettent souvent de compromettre immédiatement un système, ce qui laisse peu de temps aux défenseurs pour réagir. La vulnérabilité CVE-2025-21298 est particulièrement dangereuse.
OPSWAT MetaDefender Core is positioned at the forefront of advanced threat detection and prevention, offering a multi-layered approach to security that is particularly effective against zero-day attacks like CVE-2025-21298. It leverages Metascan™ Multiscanning, Deep CDR™ Technology and Adaptive Sandbox to detect and neutralize threats before they can reach critical systems.
En première ligne de défense, Metascan Multiscanning analyse la pièce jointe qui contient le fichier RTF malveillant. Cinq des 34 moteurs peuvent détecter CVE-2025-21298.
Next, Deep CDR™ Technology proactively sanitizes files by removing potentially malicious elements while preserving the file's usability. To mitigate the risks associated with CVE-2025-21298, we first enable “Remove Embedded Object” for RTF under the Deep CDR™ Technology configuration pane.
Once enabled, Deep CDR™ Technology identifies this embedded object as a suspicious node and removes the RTF.
While Deep CDR™ Technology focuses on malicious object removal and file sanitization, Adaptive Sandbox provides an additional layer of protection by using emulation-based detonation to analyze malicious behaviors and IOCs (indicators of compromise).
Recommandations de mise en œuvre
- Deploy Deep CDR™ Technology at email gateways to sanitize all incoming files with embedded RTFs.
- Configurez Adaptive Sandbox pour faire exploser en toute sécurité les fichiers suspects avant qu'ils ne soient livrés.
- Mettre en place un suivi complet des tentatives d'exploitation potentielles.
Pourquoi les entreprises font-elles confiance à OPSWAT pour la Advanced Threat Detection et la prévention des Advanced Threat Detection
Les organisations de divers secteurs, y compris la finance, la santé et les infrastructures critiques, s'appuient sur OPSWAT MetaDefender Core pour.. :
- Industry-Leading Zero-Day Protection: Advanced security measures like Deep CDR™ Technology and Adaptive Sandbox provide unparalleled defense against emerging threats.
- Soutien à la conformité réglementaire : Les solutions OPSWAT aident à la conformité avec les normes de sécurité telles que GDPR, HIPAA et NIST en garantissant des politiques strictes d'assainissement des fichiers.
- Intégration transparente avec l'infrastructure de sécurité existante : MetaDefender Core s'intègre aux SIEM, pare-feux et plateformes de protection des points d'accès pour une détection et une prévention complètes des menaces.
- Évolutivité pour les environnements d'entreprise : Conçu pour traiter de gros volumes de données, il garantit la sécurité sans compromettre les performances.
Réflexions finales
CVE-2025-21298 represents a serious threat to organizations, but with proactive security measures, businesses can prevent catastrophic breaches. OPSWAT MetaDefender Core, with its Deep CDR™ Technology, Metascan Multiscanning, and Adaptive Sandbox capabilities, provides cutting-edge protection against zero-day exploits. By implementing multi-layered security strategies and leveraging OPSWAT’s advanced threat prevention technologies, organizations can effectively neutralize emerging cyberthreats and safeguard their critical assets.
Intéressé par OPSWAT MetaDefender Core?
