Microsoft Outlook má nedávno zistenú chybu zabezpečenia, ktorá útočníkom umožňuje spustiť škodlivý malvér cieľové počítače. V závislosti od odosielateľa možno túto bezpečnostnú slabinu objavenú výskumníkmi Morphisec zneužiť bez akéhokoľvek zapojenia používateľa.
Zraniteľnosť, známa ako CVE-2024-38021, poskytuje neautorizovaným útočníkom možnosť na diaľku spustiť kód ( RCE) na počítačoch vlastnených inými stranami. Keď sú e-maily odosielané od spoľahlivých odosielateľov, podľa prieskumu spoločnosti Morphisec môže dôjsť k zneužitiu bez kliknutí, a to aj napriek počiatočnej komunikácii spoločnosti Microsoft, že zraniteľnosť vyžaduje, aby používatelia povolili zakázaný obsah.
Morphisec prinútil Microsoft zaradiť túto zraniteľnosť ako kritickú kvôli jej vážnym následkom, najmä s vektorom nulového kliknutia pre dôveryhodných odosielateľov. Odteraz mu spoločnosť Microsoft priradila vysokú závažnosť skóre CVSS 8,8.
Zneužívanie CVE-2024-38021 môže viesť k škodlivej činnosti, nezákonnému prístupu a úniku údajov. Riziko výrazne zvyšuje nevyžadovanie identifikácie používateľa, čo otvára dvere masovému vykorisťovaniu.
- apríla Morphisec upozornil Microsoft na túto zraniteľnosť a od 9. júla je k dispozícii oprava. Office 2016, 2019, LTSC 2021 a Microsoft 365 Apps for Enterprise patria medzi položky, ktorých sa to týka. Spoločnosť Microsoft odporúča zákazníkom, aby čo najskôr aktualizovali svoj softvér, aj keď nie sú známe žiadne situácie aktívneho využívania.
Spoločnosť Microsoft tiež v júni opravila ďalšiu zraniteľnosť RCE (CVE-2024-30103) v programe Outlook. Za určitých okolností môže byť táto zraniteľnosť potenciálne zneužitá bez akéhokoľvek zapojenia používateľa. Na Defcon 32hackerskej konferencii v Las Vegas v auguste budú predstavené technické detaily oboch zraniteľností.