Закрытая в майский патч-вторник уязвимость в Microsoft Office оказалась особенно опасной. Сама Microsoft в соответствующем уведомлении о безопасности (открывается в новом окне) упоминает лишь об ошибке типа use-after-free в Microsoft Word. Однако, по словам первооткрывателя, проблема имеет более серьезные последствия и, в частности, в сочетании с Outlook позволяет проводить сложные атаки с использованием вредоносного кода.

Речь идет об уязвимости CVE-2026-40361 (открывается в новом окне). Microsoft присваивает ей критический уровень серьезности, хотя показатель CVSS, равный 8,4, указывает лишь на высокую степень серьезности. По данным компании, злоумышленники могут использовать эту брешь для выполнения вредоносного кода на уязвимой системе без какого-либо взаимодействия с пользователем.

В качестве первооткрывателя Microsoft называет исследователя безопасности Хайфея Ли, который уже не раз находил уязвимости в Microsoft Office. В своем сообщении в X (открывается в новом окне) Ли подробно рассказывает о CVE-2026-40361. Он называет ее «уязвимостью нулевого клика в Outlook». Причина, по его словам, кроется в DLL-файле wwlib.dll, который используется как Outlook, так и Word. Таким образом, Word также уязвим, но в Outlook эта брешь, по-видимому, представляет большую опасность.

Системы могут быть скомпрометированы через электронную почту

По словам Ли, для успешной эксплуатации уязвимости цели достаточно просто открыть в Outlook специально созданное электронное письмо. Более того, для этого достаточно лишь отображения письма в области предварительного просмотра. «Никаких кликов по ссылкам или вложениям не требуется», — подчеркивает исследователь. Причиной этого является ошибка в механизме рендеринга электронной почты Outlook.

В своем сообщении Ли сравнивает CVE-2026-40361 с уязвимостью под названием Badwinmail, которую он обнаружил десять лет назад (открывается в новом окне). Вектор атаки в обоих случаях, по его словам, идентичен. «По сути, любой мог бы скомпрометировать генерального или финансового директора, просто отправив электронное письмо», — говорит исследователь.

Межсетевые экраны при таком подходе легко обходятся, и угроза попадает прямо в почтовый ящик. «Кроме того, обратите внимание, что Outlook (классическая версия) не имеет изолированной программной среды (песочницы), что делает этот вектор атаки еще более опасным», — продолжил Ли. «Вы наверняка захотите установить этот патч как можно раньше».

Патчи и временное решение доступны

Патчи доступны с 12 мая для всех версий Office, начиная с 2016 года. По словам Ли, отображение электронных писем в Outlook исключительно в формате обычного текста также должно защитить от эксплуатации CVE-2026-40361. На данный момент сведений об активной эксплуатации уязвимости, по-видимому, нет. Однако Microsoft считает появление соответствующих атак «довольно вероятным».