Microsoft Outlook heeft een recent gevonden kwetsbaarheid waardoor aanvallers kwaadaardige malware kunnen uitvoeren doel-pc's. Afhankelijk van de afzender kan dit beveiligingslek dat door onderzoekers van Morphisec is ontdekt, worden uitgebuit zonder tussenkomst van de gebruiker.
De kwetsbaarheid, bekend als CVE-2024-38021, geeft ongeautoriseerde aanvallers de mogelijkheid om op afstand code uit te voeren ( RCE) op computers die eigendom zijn van andere partijen. Wanneer e-mails worden verzonden vanaf betrouwbare afzenders, kan volgens het onderzoek van Morphisec zero-click-exploitatie plaatsvinden, ondanks de aanvankelijke mededeling van Microsoft dat de kwetsbaarheid vereist dat gebruikers verboden inhoud toestaan.
Morphisec heeft Microsoft ertoe aangezet om de kwetsbaarheid als kritiek te bestempelen vanwege de ernstige gevolgen ervan, vooral met de zero-click-vector voor vertrouwde afzenders. Vanaf nu heeft Microsoft hieraan een hoge ernst CVSS-score toegekend van 8,8.
De exploitatie van CVE-2024-38021 kan leiden tot schadelijke activiteiten, illegale toegang en gegevenslekken. Het risico wordt aanzienlijk vergroot doordat er geen gebruikersidentificatie vereist is, wat de deur opent voor massale uitbuiting.
Op 21 april bracht Morphisec Microsoft op de hoogte van de kwetsbaarheid en vanaf 9 juli is er een patch beschikbaar. Office 2016, 2019, LTSC 2021 en Microsoft 365 Apps for Enterprise behoren tot de items die hierdoor worden getroffen. Microsoft raadt klanten aan hun software zo snel mogelijk bij te werken, zelfs als er geen actieve exploitatiesituaties bekend zijn.
Microsoft heeft in juni ook een andere RCE-kwetsbaarheid (CVE-2024-30103) in Outlook gepatcht. Onder bepaalde omstandigheden kan dit beveiligingslek mogelijk worden misbruikt zonder tussenkomst van de gebruiker. Op de Defcon 32hackerconferentie in Las Vegas in augustus zullen er presentaties plaatsvinden van de technische details van beide kwetsbaarheden.