Μια κρίσιμη ευπάθεια στο Microsoft Outlook θέτει σε κίνδυνο τα συστήματα χρηστών, επιτρέποντας την πλήρη εκτέλεση κακόβουλου κώδικα. Σε ορισμένες περιπτώσεις, η επίθεση μπορεί να πραγματοποιηθεί χωρίς καμία ενέργεια από τον χρήστη.
Η εταιρεία κυβερνοασφάλειας Morphisec προειδοποιεί για μια επικίνδυνη ευπάθεια στο Microsoft Outlook. Σε πρόσφατη δημοσίευση της, η Morphisec αναφέρει ότι το κενό ασφαλείας που φέρει την κωδική ονομασία CVE-2024-30103 είναι εύκολο να το εκμεταλλευτεί ο κυβερνοεγκληματίας για την απομακρυσμένη εκτέλεση κώδικα (RCE) σε ευάλωτα συστήματα Outlook.
Σε ορισμένες περιπτώσεις, η επίθεση μπορεί να πραγματοποιηθεί χωρίς καμία ενέργεια από τον χρήστη, δηλαδή δεν χρειάζεται για παράδειγμα να ανοίξει κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου ή να κάνει κλικ πάνω σε ένα σύνδεσμο για να εκτελεστεί ο κακόβουλος κώδικας.
Η ευπάθεια έχει βαθμολογία CVSS 8,8, υποδηλώνοντας υψηλό επίπεδο σοβαρότητας. Σύμφωνα με τους ερευνητές της Morphisec, αρκεί το άνοιγμα ενός προγράμματος ανάγνωσης μηνυμάτων ηλεκτρονικού ταχυδρομείου (αγγλικά Email client) για την εκμετάλλευση της ευπάθειας, χωρίς καμία περαιτέρω αλληλεπίδραση με το περιεχόμενο του email.
“Αυτό καθιστά την ευπάθεια ιδιαίτερα επικίνδυνη για λογαριασμούς που έχουν ενεργοποιημένη τη λειτουργία αυτόματης λήψης και ανοίγματος email στο Microsoft Outlook”, τονίζει η Morphisec. Οι πιθανές συνέπειες μίας επιτυχημένης επίθεσης περιλαμβάνουν διαρροές δεδομένων, μη εξουσιοδοτημένη πρόσβαση στο σύστημα-στόχο ή άλλες κακόβουλες ενέργειες. Η Microsoft επιβεβαιώνει ότι η επίθεση μπορεί να πραγματοποιηθεί ακόμα και μέσω της προεπισκόπησης email στο Outlook.
Πλήρης έλεγχος χωρίς κλικ
Η Microsoft πιστοποιεί ότι η ευπάθεια παρουσιάζει χαμηλή πολυπλοκότητα επίθεσης, συνεπώς αυτό το γεγονός την κάνει να πιστεύει ότι επί του παρόντος είναι “λιγότερο πιθανή” η ενεργή εκμετάλλευση της.
Ωστόσο, οι ερευνητές της Morphisec εκφράζουν διαφορετική άποψη. «Η έλλειψη απαιτούμενης αλληλεπίδρασης με τον χρήστη σε συνδυασμό με την απλότητα του exploit αυξάνει την πιθανότητα οι εισβολείς να εκμεταλλευτούν αυτήν την ευπάθεια για πρόσβασης στη συσκευή του χρήστη».
Η εκμετάλλευση της ευπάθειας επιτρέπει την εκτέλεση κακόβουλου κώδικα με τα δικαιώματα του χρήστη που ανοίγει το κακόβουλο email, οδηγώντας σε πλήρη έλεγχο του συστήματος-στόχου. Η Morphisec προτρέπει τους χρήστες να ενημερώσουν άμεσα τα συστήματα τους Outlook με ένα patch κυκλοφόρησε στις 11 Ιουνίου.
Η Morphisec δεν έχει δημοσιεύσει ακόμα λεπτομερείς τεχνικές πληροφορίες ή proof-of-concept (PoC) για την ευπάθεια. Αμφότερα αναμένεται να παρουσιαστούν στην ετήσια συνδιάσκεψη ασφάλειας Defcon 32, που θα πραγματοποιηθεί τον Αύγουστο στο Λας Βέγκας, μαζί με μια άλλη, προς το παρόν άγνωστη, ευπάθεια.
