Microsoft Outlook har en nylig funnet sårbarhet som lar angripere kjøre skadelig programvare på mål-PCer. Avhengig av avsenderen kan denne sikkerhetssvakheten oppdaget av Morphisec-forskere utnyttes uten brukerinvolvering.
Sårbarheten, kjent som CVE-2024-38021, gir uautoriserte angripere muligheten til å eksternt kjøre kode ( RCE) på datamaskiner som eies av andre parter. Når e-poster sendes fra pålitelige avsendere, kan null-klikks utnyttelse forekomme, ifølge Morphisecs forskning, til tross for Microsofts første kommunikasjon om at sårbarheten krever at brukere tillater forbudt innhold.
Morphisec har presset Microsoft til å rangere sårbarheten som kritisk på grunn av dens alvorlige konsekvenser, spesielt med null-klikk-vektoren for pålitelige avsendere. Per nå har Microsoft tildelt den en høy alvorlighetsgrad CVSS-score på 8,8.
Utnyttelsen av CVE-2024-38021 kan resultere i skadelig aktivitet, ulovlig tilgang og datalekkasje. Risikoen økes kraftig ved ikke å kreve brukeridentifikasjon, noe som åpner for masseutnyttelse.
- april varslet Morphisec Microsoft om sårbarheten, og fra 9. juli er en oppdatering tilgjengelig. Office 2016, 2019, LTSC 2021 og Microsoft 365 Apps for Enterprise er blant elementene som er berørt. Microsoft anbefaler kunder å oppdatere programvaren sin så snart som mulig, selv om det ikke er kjente aktive utnyttelsessituasjoner.
Microsoft lappet også en annen RCE-sårbarhet (CVE-2024-30103) i Outlook i juni. Under visse omstendigheter kan denne sårbarheten potensielt utnyttes uten brukerinvolvering. På Defcon 32hackerkonferansen i Las Vegas i august vil det være presentasjoner av begge sårbarhetenes tekniske detaljer.