Het beveiligingslek CVE-2024-38021 in Microsoft Outlook dat eind april ontdekt werd door beveiligingsonderzoekers wordt als kritiek beschouwd. Microsoft rolt nu een beveiligingspatch uit als onderdeel van Patch Tuesday.
Beveiligingsonderzoekers van Morphisec ontdekten eind april een gevaarlijk beveiligingslek in Microsoft Outlook. Het beveiligingslek kreeg de naam CVE-2024-38021 en staat gecategoriseerd als een Zero-Click Remote Code Execution (RCE)-kwetsbaarheid. Dergelijke kwetsbaarheden bieden ongeautoriseerde toegang tot systemen zonder een enkele klik. Microsoft publiceerde nu een beveiligingspatch voor de kwetsbaarheid CVE-2024-38021.
CVE-2024-38021
De kwetsbaarheid CVE-2024-38021 werd eind april reeds ontdekt door beveiligingsonderzoekers van Morphisec, en enkele dagen nadien bevestigd door Microsoft. Pas op 9 juli volgde een patch van Microsoft.
Microsoft labelde deze Outlook-kwetsbaarheid als ‘hoog’ risico aangezien het enkel in bepaalde gevallen misbruikt zou kunnen worden. Volgens de beveiligingsonderzoekers wordt er echter al actief misbruik van gemaakt. Zij bestempelen de kwetsbaarheid eerder als ‘kritiek’.
Nu patchen
Het probleem zou de meeste Microsoft Outlook-applicaties treffen en vereist geen gebruikersauthenticatie. Deze kwetsbaarheid zou in het slechtste scenario kunnen leiden tot datalekken of ongeautoriseerde toegang.
Door de kritieke toestand van deze Outlook-kwetsbaarheid en het vermoeden dat deze reeds actief misbruikt wordt, raadt het bedrijf aan om de patch zo snel mogelijk door te voeren door je Outlook-applicaties te updaten met de laatste beveiligingspatch.