Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは：脆弱性が解消しない「Microsoft Outlook」【前編】

「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。

≫ 2024年01月24日 05時00分公開

相次いで見つかったOutlookの脆弱性とは

併せて読みたいお薦め記事

Microsoft製品の脆弱性

　Akamai研究員のベン・バーニア氏は、CVE-2023-35384とCVE-2023-36710について詳しく説明している。これらの脆弱性は、Microsoftによって修正済みだ。バーニア氏は、この2つの脆弱性を組み合わせて連鎖させることで、エンドユーザーによる操作を必要とせずに、Outlook用のリモートコード実行（RCE）が可能になった。

　バーニア氏が新しいOutlookの脆弱性を発見したのは、Outlookの別の脆弱性である「CVE-2023-23397」に対してMicrosoftが実施した修正に関する調査がきっかけだった。CVE-2023-23397は2023年3月に公開され、パッチ（修正プログラム）が適用されたが、この修正を更に回避する脆弱性が2023年5月に公表された。その脆弱性「CVE-2023-29324」は、いまだにロシアの国家グループによって悪用されている。CVE-2023-29324の深刻度は、AkamaiとMicrosoftの間で意見が食い違っている。

　バーニア氏はCVE-2023-23397が、攻撃者がカスタム通知音を含むメールを送信したときに引き起こされるため、その機能が危険であることを確認した。Microsoftは2023年5月にCVE-2023-23397とCVE-2023-29324を再修正した。一方でAkamaiは、追加の修正や機能の削除など、さらなる対策をMicrosoftに求めていた。バーニア氏はAkamaiの調査レポートに、次のように記載している。「悪用された機能はさまざまな攻撃の可能性を生じさせるため、削除するようMicrosoftに申し入れた。この機能はOutlookに残っているため、さらに調査することにした」

　CVE-2023-23397とCVE-2023-29324の調査中にバーニア氏は、2つの新しい脆弱性を組み合わせることで、Outlookにリモート攻撃を仕掛けられることを発見した。これがCVE-2023-35384とCVE-2023-36710だ。CVE-2023-35384は、MapUrlToZoneと呼ばれる関数に存在するセキュリティ機能を回避する脆弱性で、脆弱性の深刻度を示すCVSSスコアは6.5と評価されている。MapUrlToZoneは、MicrosoftがCVE-2023-23397を修正するために実装したセキュリティ対策だった。

　バーニア氏によると、CVE-2023-35384を悪用するには、攻撃者がOutlookクライアントにメールを送信し、Outlookクライアントが攻撃者のサーバから特別なファイルをダウンロードする必要があるという。

　2つ目の脆弱性であるCVE-2023-36710は、オーディオ圧縮に利用するWindowsの機能「Audio Compression Manager」（ACM）で発見された。CVSSスコアは7.8だ。「この脆弱性は、ダウンロードされたサウンドファイルが自動再生される際に悪用される。エンドユーザーのPCでコードが実行される可能性がある」とバーニア氏は説明する。

　次回は脆弱性のCVE-2023-35384とCVE-2023-36710が悪用できるようになる詳しい原因と、Akamaiが提案する根本的な解決策を説明する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ