Microsoft Outlook-lek laat aanvaller code uitvoeren bij reply op malafide e-mail
Een kwetsbaarheid in Microsoft Outlook maakt het mogelijk voor aanvallers om op afstand code op de systemen van slachtoffers uit te voeren als die een malafide e-mail beantwoorden. Daarnaast kunnen twee kritieke kwetsbaarheden in Microsoft Office, die via e-mail zijn te misbruiken, ook tot remote code execution leiden. Dat laat Microsoft weten. Het techbedrijf heeft beveiligingsupdates voor de problemen beschikbaar gesteld.
De kwetsbaarheid in Microsoft Outlook (CVE-2025-62562) was eerst als kritiek aangemerkt, maar Microsoft heeft dat inmiddels aangepast naar "important". Volgens de uitleg van Microsoft moet een aanvaller het doelwit een malafide e-mail sturen, waarna het doelwit deze e-mail moet beantwoorden. Dit kan tot een "Use after free" leiden waarna de aanvaller code op het systeem van de gebruiker kan uitvoeren. Verdere details zijn niet door Microsoft gegeven, behalve dat het techbedrijf misbruik van het probleem onwaarschijnlijk acht. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8.
Daarnaast kunnen twee kritieke kwetsbaarheden in Microsoft Office (CVE-2025-62554, CVE-2025-62557) ook tot remote code execution leiden. Misbruik kan ook via het Voorbeeldvenster (Preview Pane) plaatsvinden. Om deze twee beveiligingslekken te misbruiken moet een aanvaller het doelwit een e-mail sturen met daarin een malafide link. Daarbij hoeft het doelwit de e-mail niet te openen, te lezen of op de link te klikken om de aanvaller code op het systeem van het slachtoffer uit te laten voeren. Deze twee lekken hebben een impactscore van 8.4. Misbruik is volgens Microsoft "minder waarschijnlijk".
"Het is de elfde maand op rij met een kritieke kwetsbaarheid in Office, waarbij het Voorbeeldvenster een aanvalsvector is", zegt Dustin Childs van securitybedrijf ZDI. Voor gebruikers van Office LTSC voor Mac 2021 en 2024 zijn nog geen beveiligingsupdates beschikbaar. Microsoft zegt dat die wel zullen verschijnen, maar laat niet weten wanneer dit precies zal zijn. De beveiligingsupdates van Microsoft zullen op de meeste systemen automatisch worden geïnstalleerd.
Werd tijd, zeker aangezien MSFT al jaren in hun Digital Defense Report aangeeft dat BEC nog steeds een succesvolle tactiek is. https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/microsoft-digital-defense-report-2025/?wt.mc_id=M365-MVP-5000976
Hetzelfde gaat op voor elke willekeurige opensource OS. Elke stukje software kent kwetsbaarheden, dat zal ook nooit verdwijnen verwacht ik. Contant Microsoft bashen is echt niet nodig op dit forum...er zijn helaas voldoende vaste klanten die dat maar al te leuk vinden.
Hetzelfde gaat op voor elke willekeurige opensource OS. Elke stukje software kent kwetsbaarheden, dat zal ook nooit verdwijnen verwacht ik. Contant Microsoft bashen is echt niet nodig op dit forum...er zijn helaas voldoende vaste klanten die dat maar al te leuk vinden.
ik daag je uit.... kom maar op met een voorbeeldje waarbij je 11 keer achter elkaar elke maand het afgelopen jaar een critical hebt... moet eenvoudig zijn gezien er zo veel OPEN source is toch?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?