Falha crítica no Outlook permite ataques sem interação do utilizador

A Microsoft corrigiu uma vulnerabilidade crítica no Outlook que pode ser explorada sem qualquer interação do utilizador, representando uma ameaça significativa para ambientes empresariais.

De acordo com a SecurityWeek, a falha, identificada como CVE-2026-40361, foi corrigida no âmbito do Patch Tuesday e afeta um componente DLL utilizado pelo Microsoft Word e Outlook.

Segundo a Microsoft, trata-se de uma vulnerabilidade de execução remota de código, mas investigadores alertam que o impacto poderá ser particularmente elevado devido à possibilidade de exploração “zero-click”.

O problema foi descoberto por Haifei Li, criador do sistema de deteção de zero-days Expmon, que comparou a falha à vulnerabilidade BadWinmail, descoberta há mais de uma década e considerada, na altura, um verdadeiro “enterprise killer”.

“Basta o utilizador ler ou pré-visualizar o email para o ataque ser desencadeado”, alertou Haifei Li.

De acordo com o investigador, a vulnerabilidade resulta de um problema “use-after-free” no motor de renderização de emails do Outlook, tornando difícil bloquear ou mitigar ataques.

Na prática, um atacante pode enviar um email especialmente criado e executar código remotamente no sistema da vítima sem necessidade de clicar em links ou anexos.

“Qualquer pessoa poderia comprometer um CEO ou CFO apenas enviando um email”, acrescentou o investigador.

A Microsoft classificou a probabilidade de exploração como “mais provável”, aumentando a urgência para aplicação das atualizações de segurança.

Apesar de Haifei Li indicar que apenas desenvolveu uma prova de conceito, e não um exploit totalmente funcional, o investigador alerta para a criatividade crescente dos grupos de ameaça.

Uma das poucas medidas de mitigação apontadas passa por configurar o Outlook para renderizar mensagens exclusivamente em texto simples.