Microsoft Outlook có một lỗ hổng được phát hiện gần đây cho phép kẻ tấn công chạy phần mềm độc hại trên các PC mục tiêu. Tùy thuộc vào người gửi, điểm yếu bảo mật này được các nhà nghiên cứu của Morphisec phát hiện có thể bị khai thác mà không cần có sự tham gia của người dùng.
Lỗ hổng có tên CVE-2024-38021, cung cấp cho kẻ tấn công trái phép khả năng thực thi mã từ xa ( RCE) trên các máy tính thuộc sở hữu của các bên khác. Theo nghiên cứu của Morphisec, khi email được gửi từ những người gửi đáng tin cậy, việc khai thác không cần nhấp chuột có thể xảy ra, bất chấp thông báo ban đầu của Microsoft rằng lỗ hổng này yêu cầu người dùng cho phép nội dung bị cấm.
Morphisec đã thúc đẩy Microsoft xếp lỗ hổng này là nghiêm trọng do hậu quả nghiêm trọng của nó, đặc biệt là với vectơ không nhấp chuột đối với những người gửi đáng tin cậy. Tính đến thời điểm hiện tại, Microsoft đã gán cho nó mức độ nghiêm trọng cao điểm CVSS là 8,8.
Việc khai thác CVE-2024-38021 có thể dẫn đến hoạt động có hại, truy cập bất hợp pháp và rò rỉ dữ liệu. Rủi ro tăng lên rất nhiều do không yêu cầu nhận dạng người dùng, điều này mở ra cơ hội khai thác hàng loạt.
Vào ngày 21 tháng 4, Morphisec đã thông báo cho Microsoft về lỗ hổng này và kể từ ngày 9 tháng 7, bản vá đã có sẵn. Office 2016, 2019, LTSC 2021 và Ứng dụng Microsoft 365 dành cho doanh nghiệp nằm trong số các mục bị ảnh hưởng. Microsoft khuyến nghị khách hàng cập nhật phần mềm của họ càng sớm càng tốt, ngay cả khi không có tình huống khai thác nào được biết đến.
Microsoft cũng đã vá một lỗ hổng RCE khác (CVE-2024-30103) trong Outlook vào tháng 6. Trong một số trường hợp nhất định, lỗ hổng này có thể bị khai thác mà không có sự tham gia của người dùng. Tại hội nghị hacker Defcon 32 ở Las Vegas vào tháng 8, sẽ có phần trình bày chi tiết kỹ thuật của cả hai lỗ hổng.