Microsoft Outlook มีช่องโหว่ที่เพิ่งพบซึ่งทำให้ผู้โจมตีสามารถเรียกใช้มัลแวร์ที่เป็นอันตรายได้ พีซีเป้าหมาย จุดอ่อนด้านความปลอดภัยที่ค้นพบโดยนักวิจัย Morphisec สามารถหาประโยชน์ได้โดยไม่ต้องอาศัยการมีส่วนร่วมของผู้ใช้ ทั้งนี้ขึ้นอยู่กับผู้ส่ง
ช่องโหว่นี้เรียกว่า CVE-2024-38021 ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถรันโค้ดจากระยะไกลได้ ( RCE) บนคอมพิวเตอร์ที่เป็นของบุคคลอื่น จากการวิจัยของ Morphisec เมื่ออีเมลถูกส่งจากผู้ส่งที่เชื่อถือได้ ช่องโหว่แบบ Zero-Click อาจเกิดขึ้นได้ แม้ว่า Microsoft จะแจ้งให้ทราบเบื้องต้นว่าช่องโหว่ดังกล่าวกำหนดให้ผู้ใช้อนุญาตเนื้อหาต้องห้ามก็ตาม
Morphisec ได้ผลักดันให้ Microsoft จัดอันดับช่องโหว่ว่ามีความสำคัญเนื่องจากผลกระทบร้ายแรง โดยเฉพาะอย่างยิ่งกับเวกเตอร์แบบคลิกเป็นศูนย์สำหรับผู้ส่งที่เชื่อถือได้ ณ ขณะนี้ Microsoft ได้กำหนดให้มีความรุนแรงสูง คะแนน CVSS ที่ 8.8
การใช้ประโยชน์จาก CVE-2024-38021 อาจส่งผลให้เกิดกิจกรรมที่เป็นอันตราย การเข้าถึงที่ผิดกฎหมาย และการรั่วไหลของข้อมูล ความเสี่ยงเพิ่มขึ้นอย่างมากโดยไม่จำเป็นต้องมีการระบุตัวตนผู้ใช้ ซึ่งเปิดประตูสู่การแสวงหาผลประโยชน์ในวงกว้าง
เมื่อวันที่ 21 เมษายน Morphisec ได้แจ้งให้ Microsoft ทราบถึงช่องโหว่ดังกล่าว และในวันที่ 9 กรกฎาคม จะมีแพตช์ให้ใช้งาน Office 2016, 2019, LTSC 2021 และ Microsoft 365 Apps for Enterprise เป็นหนึ่งในรายการที่ได้รับผลกระทบ Microsoft แนะนำให้ลูกค้าอัปเดตซอฟต์แวร์โดยเร็วที่สุด แม้ว่าจะไม่มีสถานการณ์การแสวงหาประโยชน์ที่ทราบอยู่แล้วก็ตาม
Microsoft ยังได้แก้ไขช่องโหว่ RCE อื่น (CVE-2024-30103) ใน Outlook ในเดือนมิถุนายน ภายใต้สถานการณ์บางอย่าง ช่องโหว่นี้อาจถูกโจมตีโดยที่ผู้ใช้ไม่เกี่ยวข้อง ที่งานประชุมแฮ็กเกอร์ Defcon 32 ที่ลาสเวกัสในเดือนสิงหาคม จะมีการนำเสนอรายละเอียดทางเทคนิคของช่องโหว่ทั้งสองรายการ