Microsoft-sårbarhed under aktiv udnyttelse

Der er nu observeret aktiv udnyttelse af en tidligere varslet sårbarhed vedr. "Remote Code Execution" i Microsoft Outlook hvor Microsoft har advaret, at "Preview Pane" vinduet kunne blive en angrebsvektor. Udnyttelsen skyldes forkert inputvalidering, når man åbner e-mails.

Sårbarheden har id'et CVE-2024-21413 og en CVSS-score på 9,8. Af CVE-nummeret kan det ses, at sårbarheden er fra 2024. Faktisk er den ifølge Bleeping Computers omtale af sagen patchet for et år siden, men alligevel er der tilsyneladende et marked for udnyttelse. Dvs. aktører har fundet det ulejligheden værd at forsøge sig med en udnyttelse, tilsyneladende med så meget succes, at den er CISA sat i kataloget over kendte udnyttede sårbarheder. Deadline for håndtering for føderale enheder i USA er 27. februar.

De berørte systemer er følgende:

• Microsoft 365 Apps for Enterprise, 32-bit & x64-baseret systemer
• Microsoft Office 2019, 32-bit & x64-baseret systemer
• Microsoft Office LTSC 2021, 32-bit & x64-baseret systemer
• Microsoft Office 2016, 32-bit & x64-baseret systemer

Hvis sårbarheden udnyttes, kan aktørerne åbne i redigeringstilstand i stedet for beskyttet tilstand. 

Sårbarheden (kaldet Moniker Link) tillader potentielt en ondsindet aktør at omgå den indbyggede Outlook-beskyttelse for ondsindede links, der er indlejret i e-mails ved hjælp af file://-protokollen og ved at tilføje et udråbstegn til URL'er, som peger på aktørernes servere.

Det anbefaledes at opdatere sårbare systemer omgående.