Microsoft Outlook має нещодавно знайдену вразливість, яка дозволяє зловмисникам запускати зловмисне програмне забезпечення на цільові ПК. Залежно від відправника, цей недолік безпеки, виявлений дослідниками Morphisec, можна використати без будь-якої участі користувача.
Уразливість, відома як CVE-2024-38021, дає неавторизованим зловмисникам можливість віддалено виконувати код ( RCE) на комп’ютерах, що належать іншим особам. Згідно з дослідженням Morphisec, коли електронні листи надсилаються від надійних відправників, може статися використання без клацання миші, незважаючи на початкове повідомлення Microsoft про те, що вразливість вимагає від користувачів дозволу забороненого вмісту.
Morphisec підштовхнув Microsoft до класифікації вразливості як критичної через її серйозні наслідки, особливо з вектором нульового клацання для довірених відправників. Наразі корпорація Майкрософт призначила їй високий рівень серйозності оцінка CVSS 8,8.
Використання CVE-2024-38021 може призвести до шкідливої діяльності, незаконного доступу та витоку даних. Ризик значно збільшується, якщо не вимагати ідентифікації користувача, що відкриває двері для масового використання.
21 квітня Morphisec повідомила Microsoft про вразливість, і станом на 9 липня доступне виправлення. Office 2016, 2019, LTSC 2021 і Microsoft 365 Apps for Enterprise є одними з елементів, яких це стосується. Корпорація Майкрософт рекомендує клієнтам оновити програмне забезпечення якнайшвидше, навіть якщо немає відомих ситуацій активного використання.
Microsoft також виправила іншу вразливість RCE (CVE-2024-30103) в Outlook у червні. За певних обставин ця вразливість потенційно може бути використана без участі користувача. На конференції хакерів Defcon 32 у Лас-Вегасі в серпні відбудуться презентації технічних деталей обох уразливостей.