Microsoft Outlook мае нядаўна выяўленую ўразлівасць, якая дазваляе зламыснікам запускаць шкоднаснае ПЗ на мэтавыя ПК. У залежнасці ад адпраўніка, гэта слабасць бяспекі, выяўленая даследчыкамі Morphisec, можа быць выкарыстана без удзелу карыстальніка.
Уразлівасць, вядомая як CVE-2024-38021, дае несанкцыянаваным зламыснікам магчымасць выдалена выконваць код ( RCE) на кампутарах, якія належаць іншым асобам. Згодна з даследаваннем Morphisec, калі электронныя лісты адпраўляюцца ад надзейных адпраўнікоў, можа адбыцца выкарыстанне з нулявым клікам, нягледзячы на першапачатковае паведамленне Microsoft аб тым, што ўразлівасць патрабуе ад карыстальнікаў дазволу забароненага кантэнту.
Morphisec прымусіў Microsoft прызнаць уразлівасць крытычнай з-за яе сур'ёзных наступстваў, асабліва з вектарам нулявога кліку для давераных адпраўнікоў. На дадзены момант Microsoft прысвоіла яму высокі ўзровень сур'ёзнасці ацэнка CVSS 8,8.
Выкарыстанне CVE-2024-38021 можа прывесці да шкоднай дзейнасці, незаконнага доступу і ўцечкі даных. Рызыка значна павялічваецца, калі не патрабуецца ідэнтыфікацыя карыстальніка, што адкрывае дзверы для масавай эксплуатацыі.
21 красавіка Morphisec паведаміў Microsoft аб уразлівасці, і па стане на 9 ліпеня патч даступны. Праграмы Office 2016, 2019, LTSC 2021 і Microsoft 365 для прадпрыемстваў адносяцца да элементаў, якія закрануты. Microsoft рэкамендуе кліентам абнавіць сваё праграмнае забеспячэнне як мага хутчэй, нават калі няма вядомых сітуацый актыўнай эксплуатацыі.
Microsoft таксама выправіла яшчэ адну ўразлівасць RCE (CVE-2024-30103) у Outlook у чэрвені. Пры пэўных абставінах гэтая ўразлівасць патэнцыйна можа быць выкарыстана без удзелу карыстальніка. На хакерскай канферэнцыі Defcon 32 у Лас-Вегасе ў жніўні будуць прадстаўлены тэхнічныя дэталі абедзвюх уразлівасцей.