Microsoft Outlook présente une vulnérabilité récemment découverte qui permet aux attaquants d'exécuter des logiciels malveillants sur PC cibles. Selon l'expéditeur, cette faille de sécurité découverte par les chercheurs de Morphisec peut être exploitée sans aucune implication de l'utilisateur.
La vulnérabilité, connue sous le nom de CVE-2024-38021, donne à des attaquants non autorisés la possibilité d'exécuter du code à distance ( RCE) sur des ordinateurs appartenant à des tiers. Lorsque les e-mails sont envoyés par des expéditeurs fiables, une exploitation sans clic peut se produire, selon les recherches de Morphisec, malgré la communication initiale de Microsoft selon laquelle la vulnérabilité oblige les utilisateurs à autoriser le contenu interdit.
Morphisec a poussé Microsoft à classer la vulnérabilité comme critique en raison de ses conséquences graves, notamment avec le vecteur zéro clic pour les expéditeurs de confiance. À l'heure actuelle, Microsoft lui a attribué une gravité élevée score CVSS de 8,8.
L'exploitation de CVE-2024-38021 peut entraîner des activités nuisibles, un accès illégal et une fuite de données. Le risque est considérablement accru si l’on n’exige pas l’identification de l’utilisateur, ce qui ouvre la porte à une exploitation massive.
Le 21 avril, Morphisec a informé Microsoft de la vulnérabilité et depuis le 9 juillet, un correctif est disponible. Office 2016, 2019, LTSC 2021 et Microsoft 365 Apps for Enterprise font partie des éléments concernés. Microsoft recommande à ses clients de mettre à jour leur logiciel dès que possible, même s'il n'existe aucune situation d'exploitation active connue.
Microsoft a également corrigé une autre vulnérabilité RCE (CVE-2024-30103) dans Outlook en juin. Dans certaines circonstances, cette vulnérabilité peut potentiellement être exploitée sans aucune implication de l'utilisateur. Lors de la conférence Defcon 32hacker à Las Vegas en août, il y aura des présentations des détails techniques des deux vulnérabilités.