Zero-Click Outlook sebezhetőséget patchelt a Microsoft

A Morphisec figyelmeztetése szerint a Microsoft 2024 júniusi Patch Tuesday-ben javított Outlook RCE sérülékenységet felhasználói interakció nélkül is ki lehet használni. A szóban forgó sebezhetőség a CVE-2024-30103 azonosítón nyomon követhető (CVSS pontszáma: 8,8) és kihasználásával a támadók megkerülhetik az Outlook blokkolólistáit, illetve rosszindulatú DLL fájlokat hozhatnak létre – áll a Microsoft közleményében. Az érintett alkalmazások az Outlook 2016, Office LTSC 2021, 365 Apps for Enterprise és az Office 2019.

Míg a Microsoft csupán az „important” kategóriába sorolja a hibát, a Morphisec kutatói, akik felfigyeltek rá, „kritikusnak” vélik, ugyanis a támadás komplexitása alacsony, és végrehajtása nem igényel felhasználói interakciót. Ezért a támadók vélhetően hamarosan élnek majd a sérülékenység adta lehetőségekkel.

A sérülékenység távoli kódfuttatást tesz lehetővé, adatokat lehet vele szivárogtatni, jogosulatlan hozzáférésre ad lehetőséget és egyéb rosszindulatú tevékenységekre is módot ad. Különösen nagy veszélyben vannak a Microsoft Outlook automatikus e-mail megnyitási funkcióját használó fiókok, ugyanis a végrehajtás akkor indul, amikor egy érintett e-mail megnyitásra kerül.

Szerencsére a Microsoft a Patch Tuesday-ben sok másik sérülékenységgel egyetemben (például egy kritikus MSMQ sebezhetőséggel) javította a hibát. Minden felhasználó számára javasolt az érintett alkalmazások mihamarabbi frissítése, ugyanis a kattintásmentes sebezhetőség tömeges kihasználásra buzdítja a támadókat, így megszerezve az elsődleges hozzáférést.

(securityweek.com)