Microsoft Outlook are o vulnerabilitate recent descoperită care permite atacatorilor să ruleze programe malware pe PC-urile țintă. În funcție de expeditor, această slăbiciune de securitate descoperită de cercetătorii Morphisec poate fi exploatată fără nicio implicare a utilizatorului.
Vulnerabilitatea, cunoscută sub numele de CVE-2024-38021, oferă atacatorilor neautorizați capacitatea de a executa cod de la distanță ( RCE) pe computere deținute de alte părți. Atunci când e-mailurile sunt trimise de la expeditori de încredere, poate avea loc exploatarea fără clicuri, conform cercetărilor lui Morphisec, în ciuda comunicării inițiale a Microsoft conform căreia vulnerabilitatea impune utilizatorilor să permită conținut interzis.
Morphisec a împins Microsoft să clasifice vulnerabilitatea drept critică din cauza consecințelor sale grave, în special cu vectorul zero-click pentru expeditorii de încredere. În prezent, Microsoft i-a atribuit un scor CVSS de severitate ridicată de 8,8.
Exploatarea CVE-2024-38021 poate duce la activități dăunătoare, acces ilegal și scurgeri de date. Riscul este mult crescut prin faptul că nu este necesară identificarea utilizatorului, ceea ce deschide ușa exploatării în masă.
Pe 21 aprilie, Morphisec a notificat Microsoft despre vulnerabilitate, iar din 9 iulie este disponibil un patch. Printre elementele afectate se numără Office 2016, 2019, LTSC 2021 și Microsoft 365 Apps for Enterprise. Microsoft recomandă clienților să-și actualizeze software-ul cât mai curând posibil, chiar dacă nu sunt cunoscute situații de exploatare activă.
Microsoft a corectat și o altă vulnerabilitate RCE (CVE-2024-30103) în Outlook în iunie. În anumite circumstanțe, această vulnerabilitate poate fi exploatată fără nicio implicare a utilizatorului. La conferința Defcon 32hacker din Las Vegas din august, vor avea loc prezentări ale detaliilor tehnice ale ambelor vulnerabilități.