「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。
セキュリティベンダーのAkamai Technologies(Akamai)は、Microsoft製品の脆弱(ぜいじゃく)性を調査する中で、OS「Windows」の脆弱性「CVE-2023-35384」と「CVE-2023-36710」を発見した。攻撃者はこれらを悪用することで、メールクライアント「Microsoft Outlook」にゼロクリック攻撃(エンドユーザーの操作を必要としない攻撃)を仕掛けられるようになる。これらの脆弱性が発見された経緯と共に、注意すべき点を解説する。
Akamai研究員のベン・バーニア氏は、CVE-2023-35384とCVE-2023-36710について詳しく説明している。これらの脆弱性は、Microsoftによって修正済みだ。バーニア氏は、この2つの脆弱性を組み合わせて連鎖させることで、エンドユーザーによる操作を必要とせずに、Outlook用のリモートコード実行(RCE)が可能になった。
バーニア氏が新しいOutlookの脆弱性を発見したのは、Outlookの別の脆弱性である「CVE-2023-23397」に対してMicrosoftが実施した修正に関する調査がきっかけだった。CVE-2023-23397は2023年3月に公開され、パッチ(修正プログラム)が適用されたが、この修正を更に回避する脆弱性が2023年5月に公表された。その脆弱性「CVE-2023-29324」は、いまだにロシアの国家グループによって悪用されている。CVE-2023-29324の深刻度は、AkamaiとMicrosoftの間で意見が食い違っている。
バーニア氏はCVE-2023-23397が、攻撃者がカスタム通知音を含むメールを送信したときに引き起こされるため、その機能が危険であることを確認した。Microsoftは2023年5月にCVE-2023-23397とCVE-2023-29324を再修正した。一方でAkamaiは、追加の修正や機能の削除など、さらなる対策をMicrosoftに求めていた。バーニア氏はAkamaiの調査レポートに、次のように記載している。「悪用された機能はさまざまな攻撃の可能性を生じさせるため、削除するようMicrosoftに申し入れた。この機能はOutlookに残っているため、さらに調査することにした」
CVE-2023-23397とCVE-2023-29324の調査中にバーニア氏は、2つの新しい脆弱性を組み合わせることで、Outlookにリモート攻撃を仕掛けられることを発見した。これがCVE-2023-35384とCVE-2023-36710だ。CVE-2023-35384は、MapUrlToZoneと呼ばれる関数に存在するセキュリティ機能を回避する脆弱性で、脆弱性の深刻度を示すCVSSスコアは6.5と評価されている。MapUrlToZoneは、MicrosoftがCVE-2023-23397を修正するために実装したセキュリティ対策だった。
バーニア氏によると、CVE-2023-35384を悪用するには、攻撃者がOutlookクライアントにメールを送信し、Outlookクライアントが攻撃者のサーバから特別なファイルをダウンロードする必要があるという。
2つ目の脆弱性であるCVE-2023-36710は、オーディオ圧縮に利用するWindowsの機能「Audio Compression Manager」(ACM)で発見された。CVSSスコアは7.8だ。「この脆弱性は、ダウンロードされたサウンドファイルが自動再生される際に悪用される。エンドユーザーのPCでコードが実行される可能性がある」とバーニア氏は説明する。
次回は脆弱性のCVE-2023-35384とCVE-2023-36710が悪用できるようになる詳しい原因と、Akamaiが提案する根本的な解決策を説明する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
