Microsoft Outlook baru-baru ini menemukan kerentanan yang memungkinkan penyerang menjalankan malware berbahaya di PC sasaran. Bergantung pada pengirimnya, kelemahan keamanan yang ditemukan oleh peneliti Morphisec dapat dieksploitasi tanpa keterlibatan pengguna apa pun.
Kerentanan, yang dikenal sebagai CVE-2024-38021, memberikan kemampuan kepada penyerang yang tidak sah untuk mengeksekusi kode dari jarak jauh ( RCE) pada komputer milik pihak lain. Ketika email dikirim dari pengirim yang dapat diandalkan, eksploitasi zero-click dapat terjadi, menurut penelitian Morphisec, meskipun ada komunikasi awal dari Microsoft bahwa kerentanan mengharuskan pengguna untuk mengizinkan konten terlarang.
Morphisec telah mendorong Microsoft untuk mengklasifikasikan kerentanan sebagai kritis karena konsekuensinya yang serius, terutama dengan vektor nol-klik untuk pengirim tepercaya. Saat ini, Microsoft telah menetapkan skor CVSS dengan tingkat keparahan tinggi sebesar 8,8.
Eksploitasi CVE-2024-38021 dapat mengakibatkan aktivitas berbahaya, akses ilegal, dan kebocoran data. Risikonya semakin besar karena tidak diperlukannya identifikasi pengguna, sehingga membuka pintu bagi eksploitasi massal.
Pada tanggal 21 April, Morphisec memberi tahu Microsoft tentang kerentanan tersebut, dan pada tanggal 9 Juli, patch telah tersedia. Office 2016, 2019, LTSC 2021, dan Aplikasi Microsoft 365 untuk Perusahaan adalah beberapa item yang terkena dampak. Microsoft menyarankan pelanggan untuk memperbarui perangkat lunak mereka sesegera mungkin, meskipun tidak ada situasi eksploitasi aktif yang diketahui.
Microsoft juga menambal kerentanan RCE lainnya (CVE-2024-30103) di Outlook pada bulan Juni. Dalam keadaan tertentu, kerentanan ini berpotensi dieksploitasi tanpa keterlibatan pengguna. Pada konferensi peretas Defcon 32 di Las Vegas pada bulan Agustus, akan ada presentasi rincian teknis dari kedua kerentanan tersebut.