У февральской RCE уязвимости в Out­look (CVE-2024–21378) повысилась критичность, но об этом не особо пишут. 🤷‍♂️ 11 марта вышел write-up от компании Net­SPI. Пишут, что эта уязвимость была ими обнаружена в 2023 году. 29 сентября они сообщили о ней в Microsoft (получается MS фиксили её 4,5 месяца). В статье приводится PoC. Кроме того, они обещают добавить эксплуатацию в опенсурсную утилиту Ruler.

"Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная цель утилиты абьюзить client-side функции Out­look и получить удалённый шелл."

Эксплуатация уязвимости немного усложняется тем, что злоумышленник должен иметь валидную пользовательскую учётку Exchange.

Если вы вдруг ещё не устанавливали февральские обновления Microsoft, обязательно займитесь. Тем более, в феврале была ещё одна RCE в Out­look с публичным эксплоитом (CVE-2024–21413).