Microsoft Outlook patří k denní rutině mnoha uživatelů. V současných dnech by se ale její uživatelé měli mít obzvlášť na pozoru: výzkumníkům v oblasti kybernetické bezpečnosti se podařilo objevit kritickou zranitelnost, která útočníkům umožňuje na napadených systémech spouštět libovolný kód, a to vzdáleně a bez nutnosti jakéhokoliv ověření. Microsoft tuto zranitelnost katalogizoval pod označením CVE-2024-38021.
Výzkumníci zvlášť upozorňují na skutečnost, že jejich žargonem označovaná "zero-click" zranitelnost je obzvlášť nebezpečná. Její šíření probíhá prostřednictvím nevyžádaných e-mailů, u kterých pokud pocházejí od důvěryhodného odesílatele, není nutná žádná další interakce uživatele.
Microsoft má na celou věc jiný názor a riziko zranitelnosti zmírňuje. Tvrdí, že zranitelnost lze zneužít pouze v případě, že je povolen blokovaný obsah. Zranitelnost se týká Office 2016, 2019 a LTSC 2021, a také aplikací Microsoft 365 pro firmy.
Zranitelnost Outlooku: výzkumníci už bezpečnostní díru jednou hlásili
Bezpečnostní výzkumníci už tuto chybu hlásili. Poprvé to bylo 21. dubna. Záplata pro ni je ale k dispozici až od 9. července.
Naštěstí nejsou dosud známy žádné případy, kdy by byla zranitelnost aktivně zneužita. Microsoft se ale domnívá, že takové zneužití je pravděpodobné a doporučuje všem uživatelům dotčených produktů co nejdříve aktualizovat.
Morphisec, který se aktivně snaží o nápravu nalezené zranitelnosti, mezitím objevil a nahlásil další zranitelnost RCE (vzdáleného spuštění kódu) v aplikaci Outlook, kterou lze rovněž zneužít bez interakce uživatele. Je katalogizována pod číslem CVE-2024-30103.
Zdroj: Morphisec (1), (2), Infosecurity Magazine