В Microsoft Outlook обнаружена новая уязвимость

В приложении Microsoft Outlook была выявлена новая уязвимость, которой присвоен идентификатор CVE-2025-21298. Данная уязвимость присутствует в системе Windows Object Linking and Embedding (OLE), а именно в компоненте ole32.dll. Она связана с ошибкой «double-free» и позволяет удалённое выполнение кода (RCE). Уязвимость категории «zero-click» позволяет злоумышленникам взломать систему без какого-либо взаимодействия со стороны пользователя.

Эта уязвимость обнаружена в функции UtOlePresStmToContentsStm компонента ole32.dll. Данная функция отвечает за обработку объектов OLE в файлах Rich Text Format (RTF) и некорректно управляет указателем pstmContents. В случае сбоя функции UtReadOlePresStmHeader, происходит повторное освобождение памяти, связанной с указателем pstmContents, что приводит к возникновению ошибки «double-free».

Злоумышленники могут воспользоваться этой уязвимостью, отправив вредоносные RTF-файлы по электронной почте. Даже если пользователь не откроет вредоносный файл в приложениях Outlook или Word, достаточно просто открыть окно предварительного просмотра письма, чтобы система подверглась атаке.

Уязвимость CVE-2025-21298 имеет высокий уровень опасности с оценкой 9.8 по шкале CVSS. Благодаря особенностям «zero-click» атака не требует взаимодействия пользователя, что делает её особенно опасной. Уязвимость затрагивает версии Windows 10, Windows 11, а также серверные версии операционной системы с 2008 по 2025 годы.

Компания Microsoft выпустила обновление безопасности в рамках январского обновления 2025 года, которое устраняет эту уязвимость. Патч исправляет проблему за счёт присвоения указателю pstmContents значения NULL после освобождения памяти, что предотвращает повторное освобождение. Также были улучшены процедуры обработки ошибок.

Рекомендации Microsoft пользователям:

1. Немедленно установить обновления. Убедитесь, что ваша операционная система Windows обновлена до последней версии, включающей исправление безопасности.
2. Отключить предварительный просмотр RTF. Если обновление не может быть установлено сразу, временно отключите функцию предварительного просмотра RTF в приложении Outlook.
3. Усилить защиту электронной почты. Внедрите продвинутые инструменты обнаружения угроз для вложений в электронной почте.
4. Проводить мониторинг угроз. Используйте Kusto Query Language (KQL), предложенный Мэттом Йохансеном, для поиска признаков эксплуатации уязвимости в вашей сети.

Простота эксплуатации этой уязвимости подчёркивает необходимость повышения осведомлённости в сфере кибербезопасности. Быстрая реакция компании Microsoft свидетельствует о серьёзности проблемы. Пользователям рекомендуется своевременно обновлять свои системы и принимать меры для защиты от подобных угроз.