Een kritieke kwetsbaarheid in Microsoft Outlook waar vorige week dinsdag een beveiligingsupdate voor verscheen is toch niet als een zerodaylek misbruikt, zo laat Microsoft in een nieuwe aanvulling op het beveiligingsbulletin weten. In eerste instantie meldde Microsoft dat het niet bekend was met misbruik van de kwetsbaarheid. Een dag later werd het bulletin aangepast en stelde het techbedrijf dat aanvallers al actief misbruik van het lek hadden gemaakt.

Microsoft heeft deze aanpassing nu teruggedraaid. Het bedrijf stelt dat het abusievelijk had vermeld dat er misbruik van de kwetsbaarheid had plaatsgevonden, terwijl dit niet het geval is. Zerodaylekken krijgen over het algemeen een hogere prioriteit om te patchen dan kwetsbaarheden waar nog geen misbruik van bekend is. Het beveiligingslek in Outlook (CVE-2024-21413) maakt remote code execution mogelijk, waarbij een aanvaller de Office Protected View-beveiliging kan omzeilen. Daardoor wordt het malafide document in de 'editing mode' geopend in plaats van de beveiligde mode.

Om via de kwetsbaarheid te worden aangevallen is het niet nodig dat een slachtoffer het document opent. Ook als het document via de preview pane (voorbeeldvenster) wordt weergegeven is misbruik mogelijk. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Centrum en de Australische overheid hebben apart voor de kwetsbaarheid gewaarschuwd. Het NCSC laat daarbij weten dat er proof-of-concept exploitcode voor het lek beschikbaar is, wat de kans vergroot dat aanvallers er uiteindelijk misbruik van zullen maken.