​Microsoft heeft een zero-day-kwetsbaarheid met hoge ernst openbaar gemaakt die Office 2016 en later treft, en waarvoor nog een patch moet worden uitgebracht.

Getraceerd als CVE-2024-38200, wordt dit beveiligingslek veroorzaakt door een zwakte in de informatieonthulling die onbevoegde actoren in staat stelt toegang te krijgen tot beschermde informatie zoals systeemstatus of configuratiegegevens, persoonlijke informatie, of verbindingsmetadata.

De zero-day treft meerdere 32-bits en 64-bits Office-versies, waaronder Office 2016, Office 2019, Office LTSC 2021 en Microsoft 365 Apps for Enterprise.

Hoewel de exploitability assessment van Microsoft zegt dat uitbuiting van CVE-2024-38200 minder waarschijnlijk is, heeft MITRE de kans op uitbuiting voor dit type zwakte als zeer waarschijnlijk gemarkeerd.

“In een webgebaseerd aanvalsscenario kan een aanvaller een website hosten (of een gecompromitteerde website gebruiken die door gebruikers geleverd materiaal accepteert of host) die een speciaal vervaardigd bestand bevat dat is ontworpen om de kwetsbaarheid te misbruiken,” legt het advies van Microsoft uit.

“Een aanvaller zou echter geen manier hebben om de gebruiker te dwingen de website te bezoeken. In plaats daarvan zou een aanvaller de gebruiker moeten overtuigen om op een link te klikken, meestal via een lokmiddel in een e-mail of Instant Messenger-bericht, en vervolgens de gebruiker overtuigen om het speciaal vervaardigde bestand te openen.”

Het bedrijf werkt aan beveiligingsupdates om dit zero-day-bug aan te pakken, maar heeft nog geen releasedatum aangekondigd.

Meer details worden gedeeld op Defcon

Hoewel Redmond geen details heeft gedeeld over de kwetsbaarheid, werd de ontdekking ervan toegeschreven aan PrivSec Consulting beveiligingsconsultant Jim Rush en Synack Red Team-lid Metin Yunus Kandemir.

De Managing Director van PrivSec, Peter Jakowetz, vertelde BleepingComputer dat Rush meer informatie over deze kwetsbaarheid zal onthullen tijdens zijn komende “NTLM – The last ride” Defcon-presentatie.

“Er zal een diepgaande bespreking zijn van verschillende nieuwe bugs die we aan Microsoft hebben gemeld (inclusief het omzeilen van een fix voor een bestaande CVE), enkele interessante en nuttige technieken, het combineren van technieken uit meerdere bug-klassen, resulterend in enkele onverwachte ontdekkingen en enkele absoluut ingewikkelde bugs,” legt Rush uit.

“We zullen ook enkele standaarden onthullen die eenvoudigweg niet zouden moeten bestaan in verstandige bibliotheken of applicaties, evenals enkele opvallende hiaten in enkele van de aan Microsoft NTLM gerelateerde beveiligingscontroles.”

Een Synack-woordvoerder was niet onmiddellijk beschikbaar voor commentaar toen BleepingComputer eerder vandaag contact opnam voor meer details over de CVE-2024-38200-kwetsbaarheid.

Microsoft werkt ook aan het patchen van zero-day-kwetsbaarheden die kunnen worden misbruikt om bijgewerkte Windows-systemen te “unpatchen” en oude kwetsbaarheden opnieuw te introduceren.

Het bedrijf zei ook eerder deze week dat het overweegt een Smart App Control- en SmartScreen-omzeiling voor Windows te patchen die sinds 2018 wordt uitgebuit.