「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。
セキュリティベンダーのAkamai Technologies(Akamai)は、Microsoft製品の脆弱(ぜいじゃく)性を調査する中で、OS「Windows」の脆弱性「CVE-2023-35384」と「CVE-2023-36710」を発見した。攻撃者はこれらを悪用することで、メールクライアント「Microsoft Outlook」にゼロクリック攻撃(エンドユーザーの操作を必要としない攻撃)を仕掛けられるようになる。これらの脆弱性が発見された経緯と共に、注意すべき点を解説する。
Akamai研究員のベン・バーニア氏は、CVE-2023-35384とCVE-2023-36710について詳しく説明している。これらの脆弱性は、Microsoftによって修正済みだ。バーニア氏は、この2つの脆弱性を組み合わせて連鎖させることで、エンドユーザーによる操作を必要とせずに、Outlook用のリモートコード実行(RCE)が可能になった。
バーニア氏が新しいOutlookの脆弱性を発見したのは、Outlookの別の脆弱性である「CVE-2023-23397」に対してMicrosoftが実施した修正に関する調査がきっかけだった。CVE-2023-23397は2023年3月に公開され、パッチ(修正プログラム)が適用されたが、この修正を更に回避する脆弱性が2023年5月に公表された。その脆弱性「CVE-2023-29324」は、いまだにロシアの国家グループによって悪用されている。CVE-2023-29324の深刻度は、AkamaiとMicrosoftの間で意見が食い違っている。
バーニア氏はCVE-2023-23397が、攻撃者がカスタム通知音を含むメールを送信したときに引き起こされるため、その機能が危険であることを確認した。Microsoftは2023年5月にCVE-2023-23397とCVE-2023-29324を再修正した。一方でAkamaiは、追加の修正や機能の削除など、さらなる対策をMicrosoftに求めていた。バーニア氏はAkamaiの調査レポートに、次のように記載している。「悪用された機能はさまざまな攻撃の可能性を生じさせるため、削除するようMicrosoftに申し入れた。この機能はOutlookに残っているため、さらに調査することにした」
CVE-2023-23397とCVE-2023-29324の調査中にバーニア氏は、2つの新しい脆弱性を組み合わせることで、Outlookにリモート攻撃を仕掛けられることを発見した。これがCVE-2023-35384とCVE-2023-36710だ。CVE-2023-35384は、MapUrlToZoneと呼ばれる関数に存在するセキュリティ機能を回避する脆弱性で、脆弱性の深刻度を示すCVSSスコアは6.5と評価されている。MapUrlToZoneは、MicrosoftがCVE-2023-23397を修正するために実装したセキュリティ対策だった。
バーニア氏によると、CVE-2023-35384を悪用するには、攻撃者がOutlookクライアントにメールを送信し、Outlookクライアントが攻撃者のサーバから特別なファイルをダウンロードする必要があるという。
2つ目の脆弱性であるCVE-2023-36710は、オーディオ圧縮に利用するWindowsの機能「Audio Compression Manager」(ACM)で発見された。CVSSスコアは7.8だ。「この脆弱性は、ダウンロードされたサウンドファイルが自動再生される際に悪用される。エンドユーザーのPCでコードが実行される可能性がある」とバーニア氏は説明する。
次回は脆弱性のCVE-2023-35384とCVE-2023-36710が悪用できるようになる詳しい原因と、Akamaiが提案する根本的な解決策を説明する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...
インテントデータ×キーエンス出身者のノウハウで実現 ABMを先に進める最先端の営業手法とは?
ユーソナーとGrand Centralは提携し、営業売り上げ拡大のためのBPOパッケージを提供開始...
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年12月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...