Microsoftがパッチを出しても「Outlook」の脆弱性が解消しない“根本的な問題”：脆弱性が解消しない「Microsoft Outlook」【後編】

Microsoft Outlookの脆弱性が相次いで発見されている。同製品の脆弱性を調査するAkamaiによると、同製品の脆弱性が解消しない背景には、“ある機能”が関係しているという。その機能とは何か。

[Arielle Waldman，TechTarget]

　セキュリティベンダーのAkamai Technologies（以下、Akamai）は、OS「Windows」の脆弱性「CVE-2023-35384」と「CVE-2023-36710」を発見した。これらの脆弱性を組み合わせて悪用することで、攻撃者はメールクライアントの「Microsoft Outlook」へのゼロクリック攻撃（エンドユーザーの操作を必要としない攻撃）を仕掛けられるようになる。

　Akamai研究員のベン・バーニア氏がこれらの脆弱性を発見したのは、Outlookの別の脆弱性である「CVE-2023-23397」と「CVE-2023-29324」を調査していたときだった。これらの脆弱性は2023年3月から5月にかけて発表され、Microsoftが緩和策を提供している。だがAkamai によると、問題は解消し切っていない。

脆弱性の原因となっているOutlookの機能とは

併せて読みたいお薦め記事

連載：脆弱性が解消しない「Microsoft Outlook」

• 前編：Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは

Microsoft製品の脆弱性

• 「Microsoft Outlook」がパッチ公開後も狙われ続ける事態に
• ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性　なぜ危ない？
• 誰もがぞっとする「Microsoftアカウント」の侵害はなぜ起きたのか

　Akamaiの調査員たちの目的は、Microsoftの脆弱性の修正後も、Outlookを遠隔地から操作してサウンドファイルをダウンロードできるかどうかを確認することだった。調査員たちは、サウンドファイルのダウンロードで使われる仕組みである、CreateFile関数とMapUrlToZone関数の調査を続けた。バーニア氏は最終的に、脆弱性の緩和策を回避し、Outlookをだましてそれらの関数を外部ネットワークではなくローカルパスから呼び出した関数と誤認させることに成功した。

　この攻撃手法は、Windowsの認証機能である「Windows NT LAN Manager」（NTLM）のドメイン名とユーザー名、パスワードを含む認証情報の漏えいだけでなく、Windowsの警告機能である「Mark Of The Web」を回避することにもつながりかねないことをバーニア氏は発見した。

　調査の第2部では、攻撃者がOutlookのカスタム通知音機能を悪用し、リモートから標的の端末に存在するファイルを再生できるかどうかをテストした。その結果、バーニア氏はCVE-2023-36710として追跡されているOutlookのリモートコード実行（RCE）を可能にする攻撃チェーンの、2番目の脆弱性を発見した。

　バーニア氏は次のように話す。「調査チームは、攻撃チェーンに含まれる脆弱性2つのうち、CVE-2023-35384の方が悪用しやすいと評価している」。同氏によるとACMの欠陥であるCVE-2023-36710は、CVE-2023-35384より複雑な手法を必要とするという。これらの攻撃手法は攻撃者にとって魅力的だ、とAkamaiは警告する。

　メールサーバ「Microsoft Exchange」（以下、Exchange）とOutlookは近年何度も攻撃を受けている。Microsoftは脆弱性のパッチ（修正プログラム）提供について批判を受けてきた。バーニア氏によると、提供されるパッチが不十分で脆弱性の根本原因を解決できていないため、緩和策が回避されたり、新たな攻撃手法が発生したりしているという。

　「これらの脆弱性は修正されているが、攻撃者はリモートで悪用できる攻撃手法や脆弱性を常に探し続けている。Akamaiが調査したOutlookの攻撃手法はまだ実用的だ。新たな脆弱性が発見され、悪用される可能性がある。Microsoftは、カスタムサウンド通知機能に使う設定「PidLidReminderFileParameter」を含むメールを破棄するようExchangeにパッチを当てたが、この緩和策が今後無効になる可能性は排除できない」とバーニア氏はレポートの第2部で書いている。

　TechTarget編集部は、この複数の脆弱性を狙う攻撃の連鎖について、Microsoftにコメントを求めた。Microsoftの広報担当者は「これらの問題には対処済みであり、最新のセキュリティ更新プログラムをインストールした顧客はすでに保護されている」と説明した。

　バーニア氏はこれらの脆弱性にはパッチが適用されたが、Outlookの通知音を変更できるカスタムサウンド通知機能は、同製品のユーザーにリスクをもたらすと語る。「Microsoftには、本当にこの機能を削除してほしい。今回の大本の脆弱性であるCVE-2023-23397は、パッチが適用されてから9カ月が経過してもなお悪用されている」と同氏は述べる。

　Akamaiは、Outlookの調査に着手するきっかけとなったCVE-2023-23397については、ユーザー企業に対しMicrosoftのガイダンスに従うようアドバイスしている。悪意のあるIPアドレスを細かく分類してフィルタリングすることや、ネットワークでNTLMを無効化することなども推奨している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。