O Microsoft Outlook tem uma vulnerabilidade descoberta recentemente que permite que invasores executem malware malicioso em PCs alvo. Dependendo do remetente, esta falha de segurança descoberta pelos pesquisadores da Morphisec pode ser explorada sem qualquer envolvimento do usuário.
A vulnerabilidade, conhecida como CVE-2024-38021, dá a invasores não autorizados a capacidade de executar código remotamente ( RCE) em computadores de propriedade de terceiros. Quando e-mails são enviados de remetentes confiáveis, pode ocorrer exploração sem clique, de acordo com a pesquisa da Morphisec, apesar da comunicação inicial da Microsoft de que a vulnerabilidade exige que os usuários permitam conteúdo proibido.
A Morphisec pressionou a Microsoft a classificar a vulnerabilidade como crítica devido às suas graves consequências, especialmente com o vetor de clique zero para remetentes confiáveis. A partir de agora, a Microsoft atribuiu a ele uma pontuação CVSS de alta severidade de 8,8.
A exploração do CVE-2024-38021 pode resultar em atividades prejudiciais, acesso ilegal e vazamento de dados. O risco aumenta muito se não for necessária a identificação do utilizador, o que abre a porta à exploração em massa.
Em 21 de abril, a Morphisec notificou a Microsoft sobre a vulnerabilidade e, a partir de 9 de julho, um patch está disponível. Office 2016, 2019, LTSC 2021 e Microsoft 365 Apps for Enterprise estão entre os itens afetados. A Microsoft recomenda que os clientes atualizem o software o mais rápido possível, mesmo que não haja situações de exploração ativa conhecidas.
A Microsoft também corrigiu outra vulnerabilidade RCE (CVE-2024-30103) no Outlook em junho. Sob certas circunstâncias, esta vulnerabilidade pode ser potencialmente explorada sem qualquer envolvimento do usuário. Na conferência de hackers Defcon 32em Las Vegas, em agosto, haverá apresentações de detalhes técnicos de ambas as vulnerabilidades.