Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは脆弱性が解消しない「Microsoft Outlook」【前編】

「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。

2024年01月24日 05時00分 公開
[Arielle WaldmanTechTarget]

 セキュリティベンダーのAkamai Technologies(Akamai)は、Microsoft製品の脆弱(ぜいじゃく)性を調査する中で、OS「Windows」の脆弱性「CVE-2023-35384」と「CVE-2023-36710」を発見した。攻撃者はこれらを悪用することで、メールクライアント「Microsoft Outlook」にゼロクリック攻撃(エンドユーザーの操作を必要としない攻撃)を仕掛けられるようになる。これらの脆弱性が発見された経緯と共に、注意すべき点を解説する。

相次いで見つかったOutlookの脆弱性とは

 Akamai研究員のベン・バーニア氏は、CVE-2023-35384とCVE-2023-36710について詳しく説明している。これらの脆弱性は、Microsoftによって修正済みだ。バーニア氏は、この2つの脆弱性を組み合わせて連鎖させることで、エンドユーザーによる操作を必要とせずに、Outlook用のリモートコード実行(RCE)が可能になった。

 バーニア氏が新しいOutlookの脆弱性を発見したのは、Outlookの別の脆弱性である「CVE-2023-23397」に対してMicrosoftが実施した修正に関する調査がきっかけだった。CVE-2023-23397は2023年3月に公開され、パッチ(修正プログラム)が適用されたが、この修正を更に回避する脆弱性が2023年5月に公表された。その脆弱性「CVE-2023-29324」は、いまだにロシアの国家グループによって悪用されている。CVE-2023-29324の深刻度は、AkamaiとMicrosoftの間で意見が食い違っている。

 バーニア氏はCVE-2023-23397が、攻撃者がカスタム通知音を含むメールを送信したときに引き起こされるため、その機能が危険であることを確認した。Microsoftは2023年5月にCVE-2023-23397とCVE-2023-29324を再修正した。一方でAkamaiは、追加の修正や機能の削除など、さらなる対策をMicrosoftに求めていた。バーニア氏はAkamaiの調査レポートに、次のように記載している。「悪用された機能はさまざまな攻撃の可能性を生じさせるため、削除するようMicrosoftに申し入れた。この機能はOutlookに残っているため、さらに調査することにした」

 CVE-2023-23397とCVE-2023-29324の調査中にバーニア氏は、2つの新しい脆弱性を組み合わせることで、Outlookにリモート攻撃を仕掛けられることを発見した。これがCVE-2023-35384とCVE-2023-36710だ。CVE-2023-35384は、MapUrlToZoneと呼ばれる関数に存在するセキュリティ機能を回避する脆弱性で、脆弱性の深刻度を示すCVSSスコアは6.5と評価されている。MapUrlToZoneは、MicrosoftがCVE-2023-23397を修正するために実装したセキュリティ対策だった。

 バーニア氏によると、CVE-2023-35384を悪用するには、攻撃者がOutlookクライアントにメールを送信し、Outlookクライアントが攻撃者のサーバから特別なファイルをダウンロードする必要があるという。

 2つ目の脆弱性であるCVE-2023-36710は、オーディオ圧縮に利用するWindowsの機能「Audio Compression Manager」(ACM)で発見された。CVSSスコアは7.8だ。「この脆弱性は、ダウンロードされたサウンドファイルが自動再生される際に悪用される。エンドユーザーのPCでコードが実行される可能性がある」とバーニア氏は説明する。


 次回は脆弱性のCVE-2023-35384とCVE-2023-36710が悪用できるようになる詳しい原因と、Akamaiが提案する根本的な解決策を説明する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news154.jpg

D2CとD2C Rが「docomo connecting path(コネパス)」計測タグを無料配布
D2CとD2C Rは、Cookieレス環境でもリターゲティング広告やオーディエンス分析が可能な新...

news074.jpg

ニップンと刀が協業 マーケティングノウハウで成熟市場を拡大へ
ニップンと刀は「ニップン × 刀 協業発表会」を開催し、協業を通じた両社の取り組みとそ...

news197.png

広告運用自動化ツール「Shirofune」がMicrosoft広告の改善機能を実装
Shirofuneは広告運用自動化ツール「Shirofune」に改善カード機能を追加。これにより、キ...