Microsoft Outlook tiene una vulnerabilidad encontrada recientemente que permite a los atacantes ejecutar malware malicioso en PC objetivo. Dependiendo del remitente, esta vulnerabilidad de seguridad descubierta por los investigadores de Morphisec se puede explotar sin la participación del usuario.
La vulnerabilidad, conocida como CVE-2024-38021, brinda a atacantes no autorizados la capacidad de ejecutar código de forma remota ( RCE) en computadoras propiedad de terceros. Cuando los correos electrónicos provienen de remitentes confiables, puede ocurrir una explotación sin hacer clic, según la investigación de Morphisec, a pesar de la comunicación inicial de Microsoft de que la vulnerabilidad requiere que los usuarios permitan contenido prohibido.
Morphisec ha presionado a Microsoft para que clasifique la vulnerabilidad como crítica debido a sus graves consecuencias, especialmente con el vector de cero clic para remitentes confiables. A partir de ahora, Microsoft le ha asignado una [puntuación CVSS] de alta gravedad (https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System) de 8,8.
La explotación de CVE-2024-38021 puede dar lugar a actividades dañinas, acceso ilegal y fuga de datos. El riesgo aumenta considerablemente al no exigir la identificación del usuario, lo que abre la puerta a la explotación masiva.
El 21 de abril, Morphisec notificó a Microsoft sobre la vulnerabilidad y, a partir del 9 de julio, hay un parche disponible. Office 2016, 2019, LTSC 2021 y Microsoft 365 Apps for Enterprise se encuentran entre los elementos afectados. Microsoft recomienda a los clientes que actualicen su software lo antes posible, incluso si no se conocen situaciones de explotación activa.
Microsoft también parchó otra vulnerabilidad RCE (CVE-2024-30103) en Outlook en junio. En determinadas circunstancias, esta vulnerabilidad puede explotarse sin la participación del usuario. En la conferencia de hackers Defcon 32 que se celebrará en Las Vegas en agosto, se presentarán los detalles técnicos de ambas vulnerabilidades.