Microsoft Outlook ir nesen atrasta ievainojamība, kas ļauj uzbrucējiem palaist ļaunprātīgu programmatūru mērķa datori. Atkarībā no sūtītāja šo Morphisec pētnieku atklāto drošības trūkumu var izmantot bez lietotāja iesaistīšanās.
Ievainojamība, kas pazīstama kā CVE-2024-38021, sniedz neautorizētiem uzbrucējiem iespēju attālināti izpildīt kodu ( RCE) datoros, kas pieder citām pusēm. Ja e-pasta ziņojumi tiek sūtīti no uzticamiem sūtītājiem, saskaņā ar Morphisec pētījumu var notikt nulles klikšķu izmantošana, neskatoties uz Microsoft sākotnējo paziņojumu, ka ievainojamības dēļ lietotājiem ir jāatļauj aizliegts saturs.
Morphisec ir mudinājis Microsoft ievainojamību klasificēt kā kritisku tās nopietno seku dēļ, īpaši ar nulles klikšķu vektoru uzticamiem sūtītājiem. Šobrīd Microsoft tam ir piešķīris augstu CVSS rezultātu — 8.8.
CVE-2024-38021 izmantošana var izraisīt kaitīgas darbības, nelikumīgu piekļuvi un datu noplūdi. Risks ir ievērojami palielināts, nepieprasot lietotāja identifikāciju, kas paver durvis masveida izmantošanai.
- aprīlī Morphisec paziņoja Microsoft par ievainojamību, un no 9. jūlija ir pieejams ielāps. Ietekmētie vienumi ir Office 2016, 2019, LTSC 2021 un Microsoft 365 Apps for Enterprise. Microsoft iesaka klientiem pēc iespējas ātrāk atjaunināt programmatūru, pat ja nav zināmas aktīvas ekspluatācijas situācijas.
Microsoft jūnijā arī izlaboja citu RCE ievainojamību (CVE-2024-30103) programmā Outlook. Noteiktos apstākļos šī ievainojamība var tikt izmantota bez lietotāja iesaistīšanās. Defcon 32hakeru konferencē Lasvegasā augustā tiks prezentētas abu ievainojamību tehniskās detaļas.