Microsoft Outlook presenta una vulnerabilità scoperta di recente che consente agli aggressori di eseguire malware dannoso su PC di destinazione. A seconda del mittente, questa debolezza della sicurezza scoperta dai ricercatori di Morphisec può essere sfruttata senza alcun coinvolgimento dell'utente.
La vulnerabilità, nota come CVE-2024-38021, offre agli aggressori non autorizzati la possibilità di eseguire in remoto codice ( RCE) su computer di proprietà di altri soggetti. Secondo la ricerca di Morphisec, quando le e-mail vengono inviate da mittenti affidabili, può verificarsi uno sfruttamento zero-click, nonostante la comunicazione iniziale di Microsoft secondo cui la vulnerabilità richiede agli utenti di consentire contenuti vietati.
Morphisec ha spinto Microsoft a classificare la vulnerabilità come critica a causa delle sue gravi conseguenze, in particolare con il vettore zero-click per i mittenti attendibili. A partire da ora, Microsoft gli ha assegnato un punteggio CVSS di severità elevata pari a 8,8.
Lo sfruttamento di CVE-2024-38021 può comportare attività dannose, accesso illegale e fuga di dati. Il rischio aumenta notevolmente se non è richiesta l’identificazione dell’utente, il che apre la porta allo sfruttamento di massa.
Il 21 aprile Morphisec ha notificato a Microsoft la vulnerabilità e dal 9 luglio è disponibile una patch. Office 2016, 2019, LTSC 2021 e Microsoft 365 Apps for Enterprise sono tra gli elementi interessati. Microsoft consiglia ai clienti di aggiornare il proprio software il prima possibile, anche se non sono note situazioni di sfruttamento attive.
Microsoft ha inoltre corretto un'altra vulnerabilità RCE (CVE-2024-30103) in Outlook a giugno. In determinate circostanze, questa vulnerabilità può essere potenzialmente sfruttata senza alcun coinvolgimento dell'utente. Alla conferenza degli hacker Defcon 32che si terrà ad agosto a Las Vegas verranno presentati i dettagli tecnici di entrambe le vulnerabilità.