Microsoft verwacht dat aanvallers misbruik gaan maken van een kritieke kwetsbaarheid in Outlook waardoor aanvallers door het versturen van een e-mail code op systemen kunnen uitvoeren. Het doelwit hoeft niet op een link te klikken of een bijlage te openen, alleen het openen van een e-mail, of wanneer die in het Voorbeeldvenster (Preview Pane) wordt weergegeven, is voldoende om remote code execution mogelijk te maken. Microsoft kwam afgelopen dinsdag tijdens de patchdinsdag van deze maand met beveiligingsupdates.
Microsoft kwam afgelopen dinsdag met beveiligingsupdates, maar stelt in het beveiligingsbulletin dat het waarschijnlijk is dat aanvallers het probleem bij aanvallen zullen misbruiken. De beveiligingsonderzoeker die het probleem ontdekte roept organisaties op om de patches zo snel mogelijk te installeren. Het beveiligingslek (CVE-2026-40361) is aanwezig in Microsoft Word 2016, Microsoft Office LTSC 2024, Microsoft Office LTSC 2021, Microsoft Office LTSC for Mac 2021, Microsoft 365 Apps for Enterprise en Microsoft Office 2019.
Microsoft geeft in het beveiligingsbulletin van CVE-2026-40361 weinig details over de kwetsbaarheid, behalve dat het om een 'use after free' gaat waardoor een aanvaller code op het systeem kan uitvoeren. Daarnaast is misbruik mogelijk via het Voorbeeldvenster (Preview Pane). Het probleem werd gevonden en gerapporteerd door beveiligingsonderzoeker Haifei Li. Die laat op X weten dat het hier om een zero-click-kwetsbaarheid in Outlook gaat en dat misbruik plaatsvindt zodra het slachtoffer de e-mail leest of previewt. "Het klikken op links of bijlagen is geen vereiste."
Li voegt toe dat de kwetsbaarheid aanwezig is in de engine die Outlook gebruikt voor het weergeven van e-mails en het probleem lastig te mitigeren of blokkeren is. Een mitigatie die wel helpt is om Outlook zo in te stellen dat e-mails alleen in plain text worden weergegeven. Wanneer Microsoft updates voor een kwetsbaarheid uitbrengt laat het bedrijf ook weten of er misbruik van het probleem is waargenomen of dat het dit in de toekomst verwacht. In het geval van CVE-2026-40361 is "exploitation more likely", aldus Microsoft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
