Microsoft patcher 0-klik sårbarhed i Outlook

2024-06-13

Tirsdag aften frigav Microsoft sikkerhedsopdateringer for Juni 2024 som led i den tilbagevendende månedlige patch-tirsdag.

Samlet set har Microsoft, med månedens rettelser, lappet 51 unikke sårbarheder heriblandt er 18 RCE (Remote Code Execution) svagheder der spænder bredt hen over selskabets produkter. RCE svagheder er særligt kritiske, da de kan misbruges til at afvikle arbitrær kode på ikke opdateret udstyr, hvilket kan føre til systemkompromittering.

De to mest kritiske er henholdsvis CVE-ID: CVE-2023-50868 som er en 0-dags sårbarhed i DNS mere specifikt i relation til DNSSEC validering samt CVE-ID: CVE-2024-3010 der er en 0-klik svaghed i e-mail klienten Outlook. En "0-klik" betyder, at svagheden kan misbruges, uden at brugeren klikker, eller reagerer på den særligt udformede e-mail.

Outlook sårbarheden er særligt kritisk for Microsoft Outlook klienter som har "auto-open" funktionen slået til. Sårbare Outlook klienter omfatter: Outlook 2016, Office LTSC 2021, 365 Apps til Enterprise, og Office 2019.

Sårbarheden i Outlook kan misbruges til data-eksfiltration, opnå uautoriseret adgang og derved gennemføre ondsindede aktiviteter. Det er muligt, at udnytte sårbarheden direkte over netværk og udnyttelse er triviel.

Man bør sikre sig, at alt ens software er opdateret til enhver tid. Det gælder også tredjepartssoftware og ikke kun software rettet mod Windows, MacOS, Linux eller tilsvarende.

Sørg for at Microsoft Windows kører i en supporteret version og at automatiske opdateringer er aktiveret således at sikkerhedsopdateringer tilbydes automatisk.

Yderligere oplysninger:
https://blog.morphisec.com/cve-2024-30103-microsoft-outlook-vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-30103