Se revela un exploit crítico de Microsoft Outlook sin hacer clic

Iniciado por AXCESS, Junio 13, 2024, 01:18:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 13, 2024, 01:18:31 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft parchó una vulnerabilidad crítica de ejecución remota de código el 11 de junio, que afectó a la mayoría de los clientes de correo electrónico Outlook. Los investigadores de Morphisec advierten que no se requiere ninguna aportación de los usuarios para que los atacantes ejecuten código en sus sistemas.

Los investigadores de Morphisec Threat Labs descubrieron la vulnerabilidad (CVE-2024-30103) y la informaron inicialmente a Microsoft el 3 de abril de 2024.

Los atacantes pueden aprovecharlo para ejecutar código arbitrario en los sistemas afectados con sólo enviar un correo electrónico. Para iniciar la ejecución es necesario abrir el correo electrónico. Sin embargo, esta es una tarea trivial ya que Microsoft Outlook tiene una función de apertura automática de dicho email.

"Esta vulnerabilidad de Microsoft Outlook puede circular de un usuario a otro y no requiere un clic para ejecutarse", dijeron los investigadores en el informe. "Esto es notablemente peligroso".

Los investigadores advierten que los atacantes pueden ejecutar fácilmente este exploit. El compromiso inicial podría dar lugar a posibles violaciones de datos, acceso no autorizado y otras actividades maliciosas, incluido un compromiso completo del sistema.

"Esta falta de interacción requerida por parte del usuario, combinada con la naturaleza sencilla del exploit, aumenta la probabilidad de que los adversarios aprovechen esta vulnerabilidad para el acceso inicial", dijeron los investigadores.

Morphisec "insta encarecidamente" a los usuarios a actualizar los clientes de Microsoft Outlook inmediatamente para mitigar el riesgo. Felicitaron a Microsoft por abordar la vulnerabilidad "relativamente rápido", dada su naturaleza problemática.

También insinuaron que hay una vulnerabilidad adicional que aún no se ha solucionado y se dará a conocer en la conferencia DEFCON 32.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario