Microsoft Outlook ima nedavno odkrito ranljivost, ki napadalcem omogoča zagon zlonamerne programske opreme ciljni osebni računalniki. Odvisno od pošiljatelja je to varnostno šibkost, ki so jo odkrili raziskovalci Morphisec, mogoče izkoristiti brez vpletenosti uporabnika.
Ranljivost, znana kot CVE-2024-38021, nepooblaščenim napadalcem omogoča oddaljeno izvajanje kode ( RCE) na računalnikih v lasti drugih strank. Ko so e-poštna sporočila poslana od zanesljivih pošiljateljev, lahko po raziskavi Morphiseca pride do izkoriščanja brez klika, kljub Microsoftovemu začetnemu sporočilu, da ranljivost od uporabnikov zahteva, da dovolijo prepovedano vsebino.
Morphisec je Microsoft prisilil, da je ranljivost uvrstil med kritične zaradi resnih posledic, zlasti z vektorjem brez klika za zaupanja vredne pošiljatelje. Trenutno mu je Microsoft dodelil visoko stopnjo resnosti rezultat CVSS 8,8.
Izkoriščanje CVE-2024-38021 lahko povzroči škodljivo dejavnost, nezakonit dostop in uhajanje podatkov. Tveganje se močno poveča, če uporabnik ne zahteva identifikacije, kar odpira vrata množičnemu izkoriščanju.
- aprila je Morphisec obvestil Microsoft o ranljivosti in od 9. julija je na voljo popravek. Office 2016, 2019, LTSC 2021 in aplikacije Microsoft 365 za podjetja so med predmeti, na katere to vpliva. Microsoft strankam priporoča, da čim prej posodobijo svojo programsko opremo, tudi če ni znanih aktivnih primerov izkoriščanja.
Microsoft je junija v Outlooku popravil še eno ranljivost RCE (CVE-2024-30103). V določenih okoliščinah se lahko ta ranljivost potencialno izkoristi brez sodelovanja uporabnika. Na hekerski konferenci Defcon 32 avgusta v Las Vegasu bodo predstavljene tehnične podrobnosti obeh ranljivosti.