Το Microsoft Outlook έχει μια ευπάθεια που βρέθηκε πρόσφατα και επιτρέπει στους εισβολείς να εκτελούν κακόβουλο λογισμικό σε υπολογιστές-στόχοι. Ανάλογα με τον αποστολέα, αυτή η αδυναμία ασφαλείας που ανακαλύφθηκε από τους ερευνητές της Morphisec μπορεί να αξιοποιηθεί χωρίς καμία συμμετοχή χρήστη.
Η ευπάθεια, γνωστή ως CVE-2024-38021, δίνει στους μη εξουσιοδοτημένους εισβολείς τη δυνατότητα να εκτελούν εξ αποστάσεως κώδικα ( RCE) σε υπολογιστές που ανήκουν σε άλλα μέρη. Όταν αποστέλλονται μηνύματα ηλεκτρονικού ταχυδρομείου από αξιόπιστους αποστολείς, μπορεί να προκύψει εκμετάλλευση μηδενικού κλικ, σύμφωνα με την έρευνα της Morphisec, παρά την αρχική ανακοίνωση της Microsoft ότι η ευπάθεια απαιτεί από τους χρήστες να επιτρέπουν το απαγορευμένο περιεχόμενο.
Η Morphisec ώθησε τη Microsoft να κατατάξει την ευπάθεια ως κρίσιμη λόγω των σοβαρών συνεπειών της, ειδικά με το διάνυσμα μηδενικού κλικ για αξιόπιστους αποστολείς. Προς το παρόν, η Microsoft της έχει ορίσει υψηλή σοβαρότητα βαθμολογία CVSS 8,8.
Η εκμετάλλευση του CVE-2024-38021 μπορεί να οδηγήσει σε επιβλαβή δραστηριότητα, παράνομη πρόσβαση και διαρροή δεδομένων. Ο κίνδυνος αυξάνεται σημαντικά με το να μην απαιτείται αναγνώριση χρήστη, κάτι που ανοίγει την πόρτα στη μαζική εκμετάλλευση.
Στις 21 Απριλίου, η Morphisec ειδοποίησε τη Microsoft για την ευπάθεια και από τις 9 Ιουλίου είναι διαθέσιμη μια ενημέρωση κώδικα. Τα Office 2016, 2019, LTSC 2021 και Microsoft 365 Apps for Enterprise είναι μεταξύ των στοιχείων που επηρεάζονται. Η Microsoft συνιστά στους πελάτες να ενημερώσουν το λογισμικό τους το συντομότερο δυνατό, ακόμα κι αν δεν υπάρχουν γνωστές καταστάσεις ενεργής εκμετάλλευσης.
Η Microsoft επιδιορθώθηκε επίσης μια άλλη ευπάθεια RCE (CVE-2024-30103) στο Outlook τον Ιούνιο. Υπό ορισμένες συνθήκες, αυτή η ευπάθεια ενδέχεται να γίνει αντικείμενο εκμετάλλευσης χωρίς καμία ανάμειξη χρήστη. Στο συνέδριο χάκερ Defcon 32 στο Λας Βέγκας τον Αύγουστο, θα υπάρξουν παρουσιάσεις των τεχνικών λεπτομερειών και των δύο τρωτών σημείων.