Advarer om 0-dagssårbarhed i Outlook

Af Eskil Sørensen, 15/03/23

Patch Tuesday retter 83 fejl, heraf to 0-dage.

Microsoft har i går advaret om en kritisk 0-dagssårbarhed i Outlook. Advarslen kommer i forbindelse med Patch Tuesday, der førte rettelser af over 80 sårbarheder med sig.

Det skriver en række medier, herunder Security Week og Bleeping Computer, i deres sædvanlige omtale af de opdateringer fra Microsoft, der altid kommer den anden tirsdag i måneden.

0-dagssårbarheden i Outlook har id’et CVE-2023-23397 og en CVSS-score på 9,8. Det betyder, at den er kritisk, og som 0-dag er den allerede under udnyttelse. Selve udnyttelsen kan ske ved at en angriber sender en specielt udformet e-mail, der automatisk afvikles, når den hentes og behandles af e-mail-serveren. Det betyder, at det kan føre til udnyttelse, før e-mailen ses i 'Preview'-ruden.

Security Week skriver, at den ukrainske CERT-organisation og Microsofts eget threat intelligence-center er krediteret for fundet af sårbarheden, hvilket efter Security Weeks opfattelse er en indikation på, at sårbarheden allerede er blevet udnyttet i avancerede APT-angreb i Europa. Bleeping Computer tilføjer, at den har været under udnyttelse af den russiske efterretningstjeneste siden aprili 2022.

Derudover omtales også en anden sårbarhed - CVE-2023-24880 - for ’omgående opmærksomhed’. Opdateringen af denne har til skal begrænse angribere i at omgå SmartScreen-teknologien. SmartScreen-teknologien findes i Microsoft Edge og Windows-operativsystemet og har til formål at hjælpe brugerne med at beskytte sig mod phishing og downloads af malware som følge af social engineering. En Magniber ransomware-gruppen er blevet observeret ved at udnytte SmartScreen-bypass.

I alt er der ifølge Bleeping Computer rettet følgende fejl fordele på hver sårbarhedstype: