PoC til kritisk zero-click sårbarhed i Windows er frigivet

2025-01-24

Der er frigivet en vigtig sikkerhedsopdatering, som led i denne måneds sikkerhedsopdateringer fra Microsoft. Der rettes en såkaldt zero-click sårbarhed i det centrale windows bibliotek, ole32.dll. Der er tale om en double-free sårbarhed i funktionen "UtOlePresStmToContentsStm" der anvendes til at behandle indlejrede OLE objekter i RTF dokumenter. Sårbarheden har fået tildelt CVE-ID: CVE-2025-21298 og opnår en CVSS score på 9.8.

Kan bl.a. udløses via e-mail, og hvis blot beskeden vises i indholdvinduet/previewpane
En ondsindet person kan misbruge denne sårbarhed i gennem særligt udformede dokumenter, som via den sårbare funktion i biblioteket ole32.dll, gør det muligt, at afvikle arbitrær kode, uden yderligere bruger interaktion. En forhåndsvisning i Outlook af en e-mail vedhæftet et ondsindet RTF dokument er tilstrækkeligt til at udløse sårbarheden, hvorved dette bliver en zero-click sårbarhed.

Bemærk, at dette nye PoC (Proof of Concept) udelukkende korrumperer hukommelsen, og ikke indeholder en payload.

Med den detaljerede analyse, og tekniske gennemgang af sårbarheden er det sikkert at antage, at funktionel exploitkode vil blive produceret og potentielt anvendt i forskellige former for angreb mod ikke opdaterede Microsoft Windows maskiner.

Sårbarheden optræder i Windows 10 og 11, samt Windows Server 2008 til og med 2025.

Yderligere oplysninger:
https://www.vulnu.com/p/zero-click-ole-rce-cve-2025-21298-microsoft-outlook-impacted
https://github.com/ynwarcs/CVE-2025-21298
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298