Microsoft Outlook het 'n kwesbaarheid wat onlangs gevind is wat aanvallers toelaat om kwaadwillige wanware te laat loop teiken rekenaars. Afhangende van die sender, kan hierdie sekuriteitswakheid wat deur Morphisec-navorsers ontdek is, uitgebuit word sonder enige gebruikerbetrokkenheid.
Die kwesbaarheid, bekend as CVE-2024-38021, gee ongemagtigde aanvallers die vermoë om kode op afstand uit te voer ( RCE) op rekenaars wat deur ander partye besit word. Wanneer e-posse van betroubare senders gestuur word, kan nul-klik-uitbuiting plaasvind, volgens Morphisec se navorsing, ten spyte van Microsoft se aanvanklike kommunikasie dat die kwesbaarheid van gebruikers vereis om verbode inhoud toe te laat.
Morphisec het Microsoft gedwing om die kwesbaarheid as kritiek te rangskik weens die ernstige gevolge daarvan, veral met die nul-klik-vektor vir vertroude senders. Van nou af het Microsoft dit 'n hoë erns CVSS-telling van 8.8 toegeken.
Die uitbuiting van CVE-2024-38021 kan lei tot skadelike aktiwiteite, onwettige toegang en datalekkasie. Die risiko word aansienlik verhoog deur nie gebruikersidentifikasie te vereis nie, wat die deur oopmaak vir massa-uitbuiting.
Op 21 April het Morphisec Microsoft in kennis gestel van die kwesbaarheid, en vanaf 9 Julie is 'n pleister beskikbaar. Office 2016, 2019, LTSC 2021 en Microsoft 365 Apps for Enterprise is van die items wat geraak word. Microsoft beveel kliënte aan om hul sagteware so gou as moontlik op te dateer, selfs al is daar geen bekende aktiewe uitbuitingsituasies nie.
Microsoft het ook in Junie 'n ander RCE-kwesbaarheid (CVE-2024-30103) in Outlook opgelos. Onder sekere omstandighede kan hierdie kwesbaarheid moontlik uitgebuit word sonder enige gebruikerbetrokkenheid. By die Defcon 32hackerkonferensie in Las Vegas in Augustus sal daar aanbiedings wees van beide kwesbaarhede se tegniese besonderhede.