Microsoft Outlook yra neseniai rastas pažeidžiamumas, leidžiantis užpuolikams paleisti kenkėjiškas programas tiksliniai kompiuteriai. Priklausomai nuo siuntėjo, ši saugos silpnybė, kurią aptiko Morphisec tyrėjai, gali būti išnaudota be jokio vartotojo įsikišimo.
Pažeidžiamumas, žinomas kaip CVE-2024-38021, suteikia neteisėtiems užpuolikams galimybę nuotoliniu būdu vykdyti kodą ( RCE) kompiuteriuose, priklausančiuose kitoms šalims. Kai el. laiškai siunčiami iš patikimų siuntėjų, „Morphisec“ tyrimo duomenimis, gali įvykti nulinio paspaudimo išnaudojimas, nepaisant pradinio „Microsoft“ pranešimo, kad dėl pažeidžiamumo vartotojai turi leisti draudžiamą turinį.
„Morphisec“ paskatino „Microsoft“ priskirti pažeidžiamumą kaip kritinį dėl jo rimtų pasekmių, ypač naudojant nulinio paspaudimo vektorių patikimiems siuntėjams. Šiuo metu „Microsoft“ jam priskyrė aukštą CVSS balą – 8,8.
CVE-2024-38021 naudojimas gali sukelti žalingą veiklą, neteisėtą prieigą ir duomenų nutekėjimą. Riziką labai padidina nereikalaujant vartotojo tapatybės nustatymo, o tai atveria duris masiniam išnaudojimui.
Balandžio 21 d. „Morphisec“ pranešė „Microsoft“ apie pažeidžiamumą, o nuo liepos 9 d. „Office 2016“, 2019, LTSC 2021 ir „Microsoft 365 Apps for Enterprise“ yra tarp elementų, kurie turi įtakos. „Microsoft“ rekomenduoja klientams kuo greičiau atnaujinti programinę įrangą, net jei nėra žinomų aktyvaus išnaudojimo situacijų.
Birželio mėn. Microsoft taip pat pataisė kitą RCE pažeidžiamumą (CVE-2024-30103) programoje Outlook. Tam tikromis aplinkybėmis šis pažeidžiamumas gali būti išnaudotas be vartotojo įsikišimo. Rugpjūčio mėn. Las Vegase vyksiančioje Defcon 32hacker konferencijoje bus pristatytos abiejų pažeidžiamumų techninės detalės.