Microsoft Outlook té una vulnerabilitat descoberta recentment que permet als atacants executar programari maliciós ordinadors de destinació. Depenent del remitent, aquesta debilitat de seguretat descoberta pels investigadors de Morphisec es pot explotar sense la implicació de l'usuari.
La vulnerabilitat, coneguda com a CVE-2024-38021, ofereix als atacants no autoritzats la possibilitat d'executar codi de manera remota ( RCE) en ordinadors propietat d'altres parts. Quan s'envien correus electrònics des de remitents fiables, es pot produir una explotació de clic zero, segons la investigació de Morphisec, malgrat la comunicació inicial de Microsoft que la vulnerabilitat requereix que els usuaris permetin contingut prohibit.
Morphisec ha empès Microsoft a classificar la vulnerabilitat com a crítica a causa de les seves greus conseqüències, especialment amb el vector de clic zero per als remitents de confiança. De moment, Microsoft li ha assignat una puntuació CVSS d'alta gravetat de 8.8.
L'explotació de CVE-2024-38021 pot provocar activitats perjudicials, accés il·legal i filtració de dades. El risc augmenta molt en no requerir la identificació de l'usuari, la qual cosa obre la porta a l'explotació massiva.
El 21 d'abril, Morphisec va notificar a Microsoft la vulnerabilitat i, a partir del 9 de juliol, hi ha disponible un pedaç. Office 2016, 2019, LTSC 2021 i Microsoft 365 Apps for Enterprise es troben entre els elements afectats. Microsoft recomana als clients que actualitzin el seu programari tan aviat com sigui possible, fins i tot si no es coneixen situacions d'explotació activa.
Microsoft també va pegar una altra vulnerabilitat RCE (CVE-2024-30103) a Outlook al juny. En determinades circumstàncies, aquesta vulnerabilitat pot ser explotada sense la implicació de l'usuari. A la conferència de pirates informàtics Defcon 32 a Las Vegas a l'agost, hi haurà presentacions dels detalls tècnics d'ambdues vulnerabilitats.