Microsoft Outlook sisältää äskettäin löydetyn haavoittuvuuden, jonka avulla hyökkääjät voivat suorittaa haitallisia haittaohjelmia kohdetietokoneet. Lähettäjästä riippuen tätä Morphisecin tutkijoiden löytämää tietoturvaheikkoutta voidaan hyödyntää ilman käyttäjien osallistumista.
Haavoittuvuus, joka tunnetaan nimellä CVE-2024-38021, antaa luvattomille hyökkääjille mahdollisuuden suorittaa etäkoodia ( RCE) muiden osapuolten omistamissa tietokoneissa. Kun sähköpostit lähetetään luotettavilta lähettäjiltä, Morphisecin tutkimuksen mukaan voi tapahtua nollaklikkauksen hyväksikäyttöä huolimatta Microsoftin alustavasta ilmoituksesta, jonka mukaan haavoittuvuus edellyttää käyttäjien sallivan kiellettyä sisältöä.
Morphisec on pakottanut Microsoftin luokittelemaan haavoittuvuuden kriittiseksi sen vakavien seurausten vuoksi, erityisesti luotettujen lähettäjien nollanapsautusvektorin kanssa. Microsoft on tällä hetkellä määrittänyt sille korkean vakavuuden CVSS-pisteet 8,8.
CVE-2024-38021:n hyödyntäminen voi johtaa haitalliseen toimintaan, laittomaan käyttöön ja tietovuotoon. Riski kasvaa huomattavasti, kun käyttäjätunnusta ei vaadita, mikä avaa oven massahyödyntämiselle.
Morphisec ilmoitti Microsoftille haavoittuvuudesta 21. huhtikuuta, ja korjaustiedosto on saatavilla 9. heinäkuuta alkaen. Office 2016, 2019, LTSC 2021 ja Microsoft 365 Apps for Enterprise ovat niitä kohteita, joihin tämä vaikuttaa. Microsoft suosittelee asiakkaita päivittämään ohjelmistonsa mahdollisimman pian, vaikka aktiivisia hyväksikäyttötilanteita ei olisi tiedossa.
Microsoft myös korjasi toisen RCE-haavoittuvuuden (CVE-2024-30103) Outlookissa kesäkuussa. Tietyissä olosuhteissa tätä haavoittuvuutta voidaan mahdollisesti hyödyntää ilman käyttäjän osallistumista. Defcon 32hakkerikonferenssissa Las Vegasissa elokuussa esitellään molempien haavoittuvuuksien teknisiä yksityiskohtia.