A Microsoft Outlook egy nemrég talált sebezhetőséget tartalmaz, amely lehetővé teszi a támadók számára, hogy rosszindulatú programokat futtatjanak cél PC-k. A feladótól függően a Morphisec kutatói által felfedezett biztonsági hiányosság felhasználói beavatkozás nélkül is kihasználható.
A CVE-2024-38021 néven ismert sebezhetőség lehetővé teszi az illetéktelen támadók számára, hogy távolról kódot hajtsanak végre ( RCE) más felek tulajdonában lévő számítógépeken. Amikor megbízható feladóktól küldenek e-maileket, a Morphisec kutatása szerint nulla kattintásos kihasználás történhet, annak ellenére, hogy a Microsoft kezdeti közleménye szerint a sérülékenység miatt tiltott tartalmat kell engedélyezni a felhasználóknak.
A Morphisec arra késztette a Microsoftot, hogy a sebezhetőséget kritikusnak minősítse annak súlyos következményei miatt, különösen a megbízható feladók zéró kattintási vektora miatt. Jelenleg a Microsoft 8,8-as nagyfokú CVSS-pontszámot rendelt hozzá.
A CVE-2024-38021 felhasználása káros tevékenységet, illegális hozzáférést és adatszivárgást eredményezhet. A kockázatot nagymértékben növeli, ha nincs szükség felhasználói azonosításra, ami megnyitja a kaput a tömeges kizsákmányolás előtt.
Április 21-én a Morphisec értesítette a Microsoftot a sérülékenységről, július 9-től pedig elérhető a javítás. Az Office 2016, 2019, LTSC 2021 és a Microsoft 365 Apps for Enterprise az érintett elemek közé tartozik. A Microsoft azt javasolja az ügyfeleknek, hogy a lehető leghamarabb frissítsék szoftvereiket, még akkor is, ha nincs ismert aktív kihasználási helyzet.
A Microsoft júniusban egy másik RCE-sérülékenységet (CVE-2024-30103) is javított az Outlookban. Bizonyos körülmények között ez a sérülékenység felhasználói beavatkozás nélkül is kihasználható. Az augusztusi Las Vegas-i Defcon 32hackerkonferencián mindkét sebezhetőség technikai részleteit ismertetik.