Microsoft Outlook ten unha vulnerabilidade descuberta recentemente que permite aos atacantes executar malware ordenadores de destino. Dependendo do remitente, esta debilidade de seguridade descuberta polos investigadores de Morphisec pode ser explotada sen a intervención do usuario.
A vulnerabilidade, coñecida como CVE-2024-38021, ofrece aos atacantes non autorizados a posibilidade de executar código remotamente ( RCE) en ordenadores propiedade doutras partes. Cando se envían correos electrónicos desde remitentes fiables, pódese producir unha explotación sen clic, segundo a investigación de Morphisec, a pesar da comunicación inicial de Microsoft de que a vulnerabilidade require que os usuarios permitan contido prohibido.
Morphisec impulsou a Microsoft a clasificar a vulnerabilidade como crítica debido ás súas graves consecuencias, especialmente co vector de clic cero para remitentes de confianza. A partir de agora, Microsoft asignoulle unha puntuación CVSS de 8.8.
A explotación de CVE-2024-38021 pode producir actividades prexudiciais, acceso ilegal e fuga de datos. O risco increméntase moito ao non esixir a identificación do usuario, o que abre a porta á explotación masiva.
O 21 de abril, Morphisec notificou a Microsoft a vulnerabilidade e, a partir do 9 de xullo, un parche está dispoñible. Office 2016, 2019, LTSC 2021 e Microsoft 365 Apps for Enterprise están entre os elementos que se ven afectados. Microsoft recomenda aos clientes que actualicen o seu software canto antes, aínda que non se coñezan situacións de explotación activas.
Microsoft tamén parcheou outra vulnerabilidade RCE (CVE-2024-30103) en Outlook en xuño. En determinadas circunstancias, esta vulnerabilidade pode explotarse sen a intervención do usuario. Na conferencia de hackers Defcon 32 en Las Vegas en agosto, haberá presentacións dos detalles técnicos de ambas vulnerabilidades.