Microsoft Outlook ay may kamakailang natagpuang kahinaan na nagpapahintulot sa mga umaatake na magpatakbo ng nakakahamak na malware sa target na mga PC. Depende sa nagpadala, ang kahinaang ito sa seguridad na natuklasan ng mga mananaliksik ng Morphisec ay maaaring samantalahin nang walang anumang paglahok ng user.
Ang kahinaan, na kilala bilang CVE-2024-38021, ay nagbibigay sa mga hindi awtorisadong umaatake ng kakayahang magsagawa ng code nang malayuan ( RCE) sa mga computer na pag-aari ng ibang mga partido. Kapag ipinadala ang mga email mula sa mga mapagkakatiwalaang nagpadala, maaaring mangyari ang zero-click na pagsasamantala, ayon sa pananaliksik ni Morphisec, sa kabila ng paunang komunikasyon ng Microsoft na ang kahinaan ay nangangailangan ng mga user na payagan ang ipinagbabawal na nilalaman.
Itinulak ng Morphisec ang Microsoft na ranggo ang kahinaan bilang kritikal dahil sa malalang kahihinatnan nito, lalo na sa zero-click na vector para sa mga pinagkakatiwalaang nagpadala. Sa ngayon, itinalaga ito ng Microsoft ng mataas na kalubhaan CVSS score na 8.8.
Ang pagsasamantala sa CVE-2024-38021 ay maaaring magresulta sa mapaminsalang aktibidad, ilegal na pag-access, at pagtagas ng data. Ang panganib ay lubhang nadagdagan sa pamamagitan ng hindi nangangailangan ng pagkakakilanlan ng user, na nagbubukas ng pinto sa malawakang pagsasamantala.
Noong Abril 21, inabisuhan ni Morphisec ang Microsoft tungkol sa kahinaan, at noong Hulyo 9, isang patch ang magagamit. Office 2016, 2019, LTSC 2021, at Microsoft 365 Apps for Enterprise ay kabilang sa mga item na naapektuhan. Inirerekomenda ng Microsoft ang mga customer na i-update ang kanilang software sa lalong madaling panahon, kahit na walang mga kilalang sitwasyon ng aktibong pagsasamantala.
Na-patch din ng Microsoft ang isa pang kahinaan ng RCE (CVE-2024-30103) sa Outlook noong Hunyo. Sa ilang partikular na sitwasyon, ang kahinaan na ito ay maaaring potensyal na pagsasamantalahan nang walang anumang paglahok ng user. Sa Defcon 32hacker conference sa Las Vegas sa Agosto, magkakaroon ng mga pagtatanghal ng mga teknikal na detalye ng parehong kahinaan.