Microsoft Outlook weist eine kürzlich entdeckte Sicherheitslücke auf, die es Angreifern ermöglicht, schädliche Malware auszuführen Ziel-PCs. Je nach Absender kann diese von Morphisec-Forschern entdeckte Sicherheitslücke ohne jegliches Eingreifen des Benutzers ausgenutzt werden.
Die Schwachstelle, bekannt als CVE-2024-38021, gibt nicht autorisierten Angreifern die Möglichkeit, Code aus der Ferne auszuführen ( RCE) auf Computern anderer Parteien. Wenn E-Mails von zuverlässigen Absendern gesendet werden, kann es laut einer Studie von Morphisec zu Zero-Click-Ausnutzung kommen, obwohl Microsoft ursprünglich mitgeteilt hatte, dass die Sicherheitslücke Benutzer dazu zwingt, verbotene Inhalte zuzulassen.
Morphisec hat Microsoft dazu gedrängt, die Sicherheitslücke aufgrund ihrer schwerwiegenden Folgen, insbesondere im Hinblick auf den Zero-Click-Vektor für vertrauenswürdige Absender, als kritisch einzustufen. Derzeit hat Microsoft ihm einen hohen Schweregrad CVSS-Score von 8,8 zugewiesen.
Die Ausnutzung von CVE-2024-38021 kann zu schädlichen Aktivitäten, illegalem Zugriff und Datenlecks führen. Das Risiko wird erheblich erhöht, da keine Benutzeridentifizierung erforderlich ist, was der Massenausbeutung Tür und Tor öffnet.
Am 21. April hat Morphisec Microsoft über die Sicherheitslücke informiert und seit dem 9. Juli ist ein Patch verfügbar. Zu den betroffenen Elementen gehören Office 2016, 2019, LTSC 2021 und Microsoft 365 Apps for Enterprise. Microsoft empfiehlt Kunden, ihre Software so schnell wie möglich zu aktualisieren, auch wenn keine aktiven Ausnutzungssituationen bekannt sind.
Microsoft hat im Juni außerdem eine weitere RCE-Schwachstelle (CVE-2024-30103) in Outlook gepatcht. Unter bestimmten Umständen kann diese Sicherheitslücke möglicherweise ohne jegliches Eingreifen des Benutzers ausgenutzt werden. Auf der Defcon 32Hacker-Konferenz in Las Vegas im August wird es Präsentationen zu den technischen Details beider Schwachstellen geben.