Microsoft Outlook má nedávno zjištěnou chybu zabezpečení, která útočníkům umožňuje spustit škodlivý malware cílové počítače. V závislosti na odesílateli lze tuto bezpečnostní slabinu objevenou výzkumníky Morphisec zneužít bez jakéhokoli zapojení uživatele.
Chyba zabezpečení známá jako CVE-2024-38021 umožňuje neoprávněným útočníkům vzdáleně spouštět kód ( RCE) na počítačích vlastněných jinými stranami. Když jsou e-maily odesílány od spolehlivých odesílatelů, může podle výzkumu společnosti Morphisec dojít ke zneužití bez kliknutí, a to i přes počáteční sdělení společnosti Microsoft, že zranitelnost vyžaduje, aby uživatelé povolili zakázaný obsah.
Morphisec přiměl Microsoft, aby tuto zranitelnost označil za kritickou kvůli jejím vážným následkům, zejména s vektorem nulového kliknutí pro důvěryhodné odesílatele. Právě teď mu Microsoft přidělil vysokou závažnost CVSS skóre 8.8.
Zneužívání CVE-2024-38021 může mít za následek škodlivou aktivitu, nelegální přístup a únik dat. Riziko se značně zvyšuje tím, že není vyžadována identifikace uživatele, což otevírá dveře hromadnému vykořisťování.
- dubna Morphisec upozornil Microsoft na zranitelnost a od 9. července je k dispozici oprava. Mezi položky, kterých se to týká, patří Office 2016, 2019, LTSC 2021 a Microsoft 365 Apps for Enterprise. Společnost Microsoft doporučuje zákazníkům, aby aktualizovali svůj software co nejdříve, i když nejsou známy žádné situace aktivního využívání.
Microsoft také v červnu opravil další zranitelnost RCE (CVE-2024-30103) v Outlooku. Za určitých okolností může být tato chyba zabezpečení potenciálně zneužita bez jakéhokoli zapojení uživatele. Na Defcon 32hackerské konferenci v Las Vegas v srpnu budou prezentovány technické detaily obou zranitelností.