Американское правительство предупреждает пользователей обновиться из-за критической уязвимости в Microsoft Outlook

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) добавило уязвимость в Microsoft Outlook в свой каталог известных уязвимостей, предупреждая пользователей о возможном злоупотреблении этой уязвимостью и дав федеральным агентствам три недели (до 27 февраля 2025 года) для её исправления или полного прекращения использования программы.

CVE-2024-21413 — это уязвимость, связанная с неправильной проверкой ввода в Microsoft Outlook. Она была обнаружена в 2024 году исследователем компании Check Point Хайфей Ли и получила оценку критичности 9.8 из 10 (критическая). Киберпреступники могут создать специальные электронные письма, содержащие определённого типа гиперссылки, которые позволят им выполнять произвольный код удаленно.

Используя эту уязвимость, атакующие могут обойти функцию Protected View в Outlook (предназначенную для открытия потенциально опасных файлов только в режиме просмотра), и вместо этого открывать злонамеренные файлы в режиме редактирования. Microsoft исправило эту уязвимость к концу 2024 года, предупредив пользователей о том, что панель предварительного просмотра также может использоваться для атаки. Иными словами, жертве даже не нужно открывать электронное письмо — достаточно просто просмотреть его в Outlook.

Уязвимость была обнаружена в различных продуктах Office, включая Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 и Microsoft Office 2019. Хотя на момент выпуска исправления не было доказательств использования этой уязвимости в реальных условиях, её добавление в KEV означает, что она уже активно используется злоумышленниками.

"CISA" отмечает: "Такие типы уязвимостей часто становятся путями атак для злонамеренных киберпреступников и представляют значительные риски для федеральной инфраструктуры".

Помимо уязвимости в Outlook, агентство добавило еще четыре бага: обход метки "Отметка о вебе" в 7-Zip, недостаток контроля процессов в Dante Discovery Process, уязвимость SQL-инъекции в CyberoamOS и переполнение буфера в Sophos XG Firewall. Федеральным агентствам необходимо исправить все эти проблемы до марта 2025 года.