Microsoft corrige una vulnerabilidad 'cero clic' en Outlook

La vulnerabilidad identificada como CVE-2024-38021 ha sido registrada con un nivel de gravedad importante, ya que permite la ejecución de código remota bajo una modalidad de 'cero clic', es decir, sin que el usuario tenga que hacer nada cuando el remitente es conocido, aunque requiere una acción si es desconocido.

Para su explotación por parte de «un actor externo», tanto solo haría falta un enlace malicioso que sorteara el protocolo de la 'Vista protegida', un modo de solo lectura que protege de contenidos de no seguros de internet.

El atacante que logre explotar de manera exitosa esta vulnerabilidad obtiene privilegios que le permiten leer, reescribir y eliminar información del gestor de correo Outlook.

La firma de seguridad Morphisec notificó a Microsoft de la existencia de esta vulnerabilidad el pasado 21 de abril, que cinco días después fue confirmada por el gigante tecnológico. El parche que la corrige está disponible desde el 9 de julio, como parte de la actualización de martes que Microsoft lanzó ese día.