Microsoft Outlook 最近发现一个漏洞,允许攻击者在目标电脑。根据发送者的不同,Morphisec 研究人员发现的这一安全漏洞可以在没有任何用户参与的情况下被利用。
该漏洞称为 CVE-2024-38021,使未经授权的攻击者能够远程执行代码 (其他方拥有的计算机上的 RCE)。根据 Morphisec 的研究,当电子邮件从可靠的发件人发送时,可能会发生零点击利用,尽管微软最初表示该漏洞要求用户允许禁止的内容。
由于该漏洞造成的严重后果,尤其是针对可信发件人的零点击向量,Morphisec 已促使 Microsoft 将该漏洞列为严重漏洞。截至目前,微软已为其分配了 8.8 的高严重性 CVSS 评分。
利用 CVE-2024-38021 可能会导致有害活动、非法访问和数据泄露。由于不需要用户身份验证,风险大大增加,这为大规模利用打开了大门。
4 月 21 日,Morphisec 向微软通报了该漏洞,并于 7 月 9 日发布了补丁。 Office 2016、2019、LTSC 2021 和 Microsoft 365 Apps for Enterprise 均受到影响。 Microsoft 建议客户尽快更新其软件,即使不存在已知的活跃利用情况。
微软还在 6 月份修复了 Outlook 中的另一个 RCE 漏洞 (CVE-2024-30103)。在某些情况下,无需任何用户参与即可利用此漏洞。 8 月在拉斯维加斯举行的 Defcon 32 黑客大会上,将介绍这两个漏洞的技术细节。