
Descripció
Aquesta falla, qualificada amb una puntuació CVSS de 9,8, permet als atacants aconseguir lexecució remota de codi (RCE) en dispositius Windows a través dun correu electrònic especialment dissenyat. La vulnerabilitat afecta Microsoft Outlook i té implicacions importants per a la seguretat del correu electrònic.
Què sabem sobre aquesta vulnerabilitat? Els atacants aprofiten aquesta vulnerabilitat enviant un correu electrònic maliciós a la víctima. Si obriu o obtindreu una vista prèvia del correu electrònic al Microsoft Outlook, l'objecte OLE integrat pot desencadenar l'execució remota de codi a la màquina de la víctima. Aquest tipus datac no requereix la interacció de lusuari més enllà de veure el correu electrònic, cosa que el fa especialment perillós.
Com podria passar un atac
Un atacant podria aprofitar aquesta falla enviant un correu electrònic especialment dissenyat a la safata dentrada de la víctima. L'explotació podria passar quan la víctima obre el correu electrònic o quan l'Outlook mostra una vista prèvia del correu electrònic.
Si s'explota amb èxit, l'atacant podria executar codi arbitrari a la màquina de la víctima, prenent efectivament el control total.
Solució
Microsoft ha proporcionat diverses solucions alternatives per mitigar els riscos d'explotació per als usuaris que no poden aplicar immediatament el pegat:
- Llegir correus electrònics en format de text sense format: configurar Microsoft Outlook perquè mostri els correus electrònics en format de text sense format redueix el risc dactivar objectes OLE maliciosos. Això no obstant, això pot afectar la usabilitat, ja que el contingut enriquit, com imatges i fonts especialitzades, ja no es mostrarà correctament.
- Eviteu fitxers RTF de fonts no fiables: es recomana als usuaris anar amb compte amb els correus electrònics que contenen fitxers adjunts en format de text enriquit (RTF) o contingut de remitents desconeguts.
- Aplicar el principi del mínim privilegi: restringir els permisos dels usuaris per limitar limpacte duna explotació reeixida.