Microsoft Outlook ma niedawno odkrytą lukę, która umożliwia atakującym uruchomienie złośliwego oprogramowania na komputerze docelowe komputery PC. W zależności od nadawcy lukę w zabezpieczeniach odkrytą przez badaczy Morphisec można wykorzystać bez udziału użytkownika.
Luka znana jako CVE-2024-38021 umożliwia nieautoryzowanym osobom atakującym zdalne wykonanie kodu ( RCE) na komputerach będących własnością innych stron. Z badań Morphisec wynika, że gdy e-maile są wysyłane od wiarygodnych nadawców, może dojść do wykorzystania typu „zero kliknięć”, pomimo początkowej informacji Microsoftu, że luka wymaga od użytkowników zezwolenia na treści zabronione.
Morphisec nakłonił Microsoft do uznania tej luki za krytyczną ze względu na jej poważne konsekwencje, zwłaszcza w przypadku zaufanych nadawców, którzy nie wymagają kliknięcia. W tej chwili Microsoft przypisał mu wysoką istotność wynik CVSS wynoszącą 8,8.
Wykorzystanie CVE-2024-38021 może skutkować szkodliwą aktywnością, nielegalnym dostępem i wyciekiem danych. Ryzyko znacznie wzrasta, gdy nie wymaga się identyfikacji użytkownika, co otwiera drzwi do masowego wykorzystania.
21 kwietnia firma Morphisec powiadomiła firmę Microsoft o luce i od 9 lipca dostępna jest łatka. Problem dotyczy pakietów Office 2016, 2019, LTSC 2021 i aplikacji Microsoft 365 dla przedsiębiorstw. Microsoft zaleca klientom jak najszybszą aktualizację oprogramowania, nawet jeśli nie są znane żadne aktywne przypadki wykorzystania.
W czerwcu Microsoft załatał także inną lukę RCE (CVE-2024-30103) w programie Outlook. W pewnych okolicznościach luka ta może zostać wykorzystana bez udziału użytkownika. Podczas sierpniowej konferencji hakerów Defcon 32 w Las Vegas zaprezentowane zostaną szczegóły techniczne obu luk.