Microsoft Outlook содержит недавно обнаруженную уязвимость, которая позволяет злоумышленникам запускать вредоносные программы на целевые ПК. В зависимости от отправителя эта уязвимость безопасности, обнаруженная исследователями Morphisec, может быть использована без какого-либо участия пользователя.
Уязвимость, известная как CVE-2024-38021, дает неавторизованным злоумышленникам возможность удаленно выполнять код ( RCE) на компьютерах, принадлежащих другим лицам. Согласно исследованию Morphisec, когда электронные письма отправляются от надежных отправителей, может произойти эксплуатация с нулевым щелчком мыши, несмотря на первоначальное сообщение Microsoft о том, что уязвимость требует от пользователей разрешения запрещенного контента.
Morphisec подтолкнула Microsoft отнести эту уязвимость к критической из-за ее серьезных последствий, особенно с учетом вектора нулевого щелчка для доверенных отправителей. На данный момент Microsoft присвоила ему высокий уровень серьезности оценка CVSS — 8,8.
Эксплуатация CVE-2024-38021 может привести к вредоносной деятельности, незаконному доступу и утечке данных. Риск значительно увеличивается из-за отсутствия необходимости идентификации пользователя, что открывает двери для массовой эксплуатации.
21 апреля Morphisec уведомила Microsoft об уязвимости, и по состоянию на 9 июля доступен патч. Office 2016, 2019, LTSC 2021 и приложения Microsoft 365 для предприятий входят в число затронутых элементов. Microsoft рекомендует клиентам как можно скорее обновить свое программное обеспечение, даже если неизвестны активные ситуации использования уязвимостей.
В июне Microsoft также исправила еще одну уязвимость RCE (CVE-2024-30103) в Outlook. При определенных обстоятельствах эта уязвимость потенциально может быть использована без какого-либо участия пользователя. На хакерской конференции Defcon 32 в Лас-Вегасе в августе будут представлены технические детали обеих уязвимостей.