Microsoft Outlook har en nylig fundet sårbarhed, der gør det muligt for angribere at køre skadelig malware på mål-pc'er. Afhængigt af afsenderen kan denne sikkerhedssvaghed, opdaget af Morphisec forskere, udnyttes uden nogen brugerindblanding.
Sårbarheden, kendt som CVE-2024-38021, giver uautoriserede angribere mulighed for at eksternt udføre kode ( RCE) på computere ejet af andre parter. Når e-mails sendes fra pålidelige afsendere, kan nul-klik-udnyttelse forekomme, ifølge Morphisecs forskning, på trods af Microsofts indledende kommunikation om, at sårbarheden kræver, at brugere tillader forbudt indhold.
Morphisec har presset Microsoft til at rangere sårbarheden som kritisk på grund af dens alvorlige konsekvenser, især med nul-klik-vektoren for betroede afsendere. Lige nu har Microsoft tildelt det en høj sværhedsgrad CVSS-score på 8.8.
Udnyttelsen af CVE-2024-38021 kan resultere i skadelig aktivitet, ulovlig adgang og datalækage. Risikoen øges markant ved ikke at kræve brugeridentifikation, hvilket åbner døren til masseudnyttelse.
Den 21. april underrettede Morphisec Microsoft om sårbarheden, og fra den 9. juli er en patch tilgængelig. Office 2016, 2019, LTSC 2021 og Microsoft 365 Apps for Enterprise er blandt de elementer, der påvirkes. Microsoft anbefaler kunder at opdatere deres software så hurtigt som muligt, selvom der ikke er kendte aktive udnyttelsessituationer.
Microsoft retter også en anden RCE-sårbarhed (CVE-2024-30103) i Outlook i juni. Under visse omstændigheder kan denne sårbarhed potentielt udnyttes uden brugerinddragelse. På Defcon 32hackerkonferencen i Las Vegas i august vil der være præsentationer af begge sårbarheders tekniske detaljer.