Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは:脆弱性が解消しない「Microsoft Outlook」【前編】
「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。
セキュリティベンダーのAkamai Technologies(Akamai)は、Microsoft製品の脆弱(ぜいじゃく)性を調査する中で、OS「Windows」の脆弱性「CVE-2023-35384」と「CVE-2023-36710」を発見した。攻撃者はこれらを悪用することで、メールクライアント「Microsoft Outlook」にゼロクリック攻撃(エンドユーザーの操作を必要としない攻撃)を仕掛けられるようになる。これらの脆弱性が発見された経緯と共に、注意すべき点を解説する。
相次いで見つかったOutlookの脆弱性とは
併せて読みたいお薦め記事
Microsoft製品の脆弱性
- 「Microsoft Outlook」がパッチ公開後も狙われ続ける事態に
- ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性 なぜ危ない?
- 誰もがぞっとする「Microsoftアカウント」の侵害はなぜ起きたのか
Akamai研究員のベン・バーニア氏は、CVE-2023-35384とCVE-2023-36710について詳しく説明している。これらの脆弱性は、Microsoftによって修正済みだ。バーニア氏は、この2つの脆弱性を組み合わせて連鎖させることで、エンドユーザーによる操作を必要とせずに、Outlook用のリモートコード実行(RCE)が可能になった。
バーニア氏が新しいOutlookの脆弱性を発見したのは、Outlookの別の脆弱性である「CVE-2023-23397」に対してMicrosoftが実施した修正に関する調査がきっかけだった。CVE-2023-23397は2023年3月に公開され、パッチ(修正プログラム)が適用されたが、この修正を更に回避する脆弱性が2023年5月に公表された。その脆弱性「CVE-2023-29324」は、いまだにロシアの国家グループによって悪用されている。CVE-2023-29324の深刻度は、AkamaiとMicrosoftの間で意見が食い違っている。
バーニア氏はCVE-2023-23397が、攻撃者がカスタム通知音を含むメールを送信したときに引き起こされるため、その機能が危険であることを確認した。Microsoftは2023年5月にCVE-2023-23397とCVE-2023-29324を再修正した。一方でAkamaiは、追加の修正や機能の削除など、さらなる対策をMicrosoftに求めていた。バーニア氏はAkamaiの調査レポートに、次のように記載している。「悪用された機能はさまざまな攻撃の可能性を生じさせるため、削除するようMicrosoftに申し入れた。この機能はOutlookに残っているため、さらに調査することにした」
CVE-2023-23397とCVE-2023-29324の調査中にバーニア氏は、2つの新しい脆弱性を組み合わせることで、Outlookにリモート攻撃を仕掛けられることを発見した。これがCVE-2023-35384とCVE-2023-36710だ。CVE-2023-35384は、MapUrlToZoneと呼ばれる関数に存在するセキュリティ機能を回避する脆弱性で、脆弱性の深刻度を示すCVSSスコアは6.5と評価されている。MapUrlToZoneは、MicrosoftがCVE-2023-23397を修正するために実装したセキュリティ対策だった。
バーニア氏によると、CVE-2023-35384を悪用するには、攻撃者がOutlookクライアントにメールを送信し、Outlookクライアントが攻撃者のサーバから特別なファイルをダウンロードする必要があるという。
2つ目の脆弱性であるCVE-2023-36710は、オーディオ圧縮に利用するWindowsの機能「Audio Compression Manager」(ACM)で発見された。CVSSスコアは7.8だ。「この脆弱性は、ダウンロードされたサウンドファイルが自動再生される際に悪用される。エンドユーザーのPCでコードが実行される可能性がある」とバーニア氏は説明する。
次回は脆弱性のCVE-2023-35384とCVE-2023-36710が悪用できるようになる詳しい原因と、Akamaiが提案する根本的な解決策を説明する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.