Microsoft Outlook には、攻撃者が悪意のあるマルウェアを実行できる脆弱性が最近発見されました。対象となるPC。送信者によっては、Morphisec 研究者によって発見されたこのセキュリティ上の弱点は、ユーザーの介入なしに悪用される可能性があります。
CVE-2024-38021 として知られるこの脆弱性により、権限のない攻撃者がリモートでコードを実行できるようになります ( RCE) を他の当事者が所有するコンピューター上で実行します。 Morphisec の調査によると、この脆弱性によりユーザーは禁止されているコンテンツを許可する必要があるという Microsoft の当初の発表にもかかわらず、電子メールが信頼できる送信者から送信された場合、ゼロクリック悪用が発生する可能性があります。
Morphisec は、特に信頼できる送信者に対するゼロクリック ベクトルによる深刻な結果を理由に、Microsoft にこの脆弱性を重大とランク付けするよう求めました。現時点で、Microsoft はこれに 8.8 という高い重大度 CVSS スコア を割り当てています。
CVE-2024-38021 が悪用されると、有害な活動、不正アクセス、データ漏洩が発生する可能性があります。ユーザーの身元確認を必要としないことでリスクが大幅に高まり、大量悪用への扉が開かれます。
4 月 21 日、Morphisec はこの脆弱性を Microsoft に通知し、7 月 9 日の時点でパッチが利用可能になっています。影響を受けるアイテムには、Office 2016、2019、LTSC 2021、Microsoft 365 Apps for Enterprise などが含まれます。 Microsoft は、既知の悪用状況がない場合でも、できるだけ早くソフトウェアを更新することをお勧めします。
Microsoft は 6 月に Outlook の別の RCE 脆弱性 (CVE-2024-30103) にもパッチを適用しました。特定の状況下では、この脆弱性はユーザーの関与なしに悪用される可能性があります。 8 月にラスベガスで開催される Defcon 32 ハッカー カンファレンスでは、両方の脆弱性の技術的な詳細についてのプレゼンテーションが行われます。