Outlook'taki Güvenlik Açığı Saldırganlara E-postaya Erişim Sağlıyor

September 06, 2024 'de güncellendi 2 dakika oku

Outlook'taki Güvenlik Açığı Saldırganlara E-postaya Erişim Sağlıyor

Microsoft Outlook, saldırganların kötü amaçlı kötü amaçlı yazılımları çalıştırmasına olanak tanıyan, yakın zamanda keşfedilen bir güvenlik açığına sahiptir. PC’leri hedef alın. Gönderene bağlı olarak, Morphisec araştırmacıları tarafından keşfedilen bu güvenlik zayıflığından herhangi bir kullanıcı müdahalesi olmadan yararlanılabilir.

CVE-2024-38021 olarak bilinen güvenlik açığı, yetkisiz saldırganlara uzaktan kod yürütme olanağı sağlar ( RCE) diğer tarafların sahip olduğu bilgisayarlarda. Morphisec’in araştırmasına göre, Microsoft’un güvenlik açığının kullanıcıların yasaklı içeriğe izin vermesini gerektirdiği yönündeki ilk iletişimine rağmen, e-postalar güvenilir gönderenlerden gönderildiğinde sıfır tıklamayla istismar gerçekleşebiliyor.

Morphisec, Microsoft’u, özellikle güvenilir gönderenler için sıfır tıklama vektörüyle ilgili ciddi sonuçları nedeniyle güvenlik açığını kritik olarak derecelendirmeye zorladı. Şu an itibarıyla Microsoft, bu puana 8,8 gibi yüksek önem dereceli bir CVSS puanı atadı.

CVE-2024-38021’in kötüye kullanılması zararlı faaliyetlere, yasa dışı erişime ve veri sızıntısına neden olabilir. Kullanıcı kimliğinin gerekmemesi nedeniyle risk büyük ölçüde artıyor ve bu da kitlesel istismara kapı açıyor.

21 Nisan’da Morphisec Microsoft’a bu güvenlik açığını bildirdi ve 9 Temmuz itibarıyla bir yama kullanıma sunuldu. Office 2016, 2019, LTSC 2021 ve Kurumlar için Microsoft 365 Uygulamaları etkilenen öğeler arasında yer alıyor. Microsoft, bilinen etkin bir kötüye kullanım durumu olmasa bile müşterilerinin yazılımlarını mümkün olan en kısa sürede güncelleştirmelerini önerir.

Microsoft ayrıca Haziran ayında Outlook’ta başka bir RCE güvenlik açığını (CVE-2024-30103) yamaladı. Belirli koşullar altında, bu güvenlik açığından herhangi bir kullanıcının müdahalesi olmadan yararlanılması mümkündür. Ağustos ayında Las Vegas’ta düzenlenecek Defcon 32hacker konferansında her iki güvenlik açığının teknik detaylarına ilişkin sunumlar yapılacak.