CISAは21日、米連邦政府機関に対し、Microsoft Outlookのリモート・コード実行(RCE)の脆弱性を狙った攻撃からシステムを保護するよう警告した。
チェック・ポイントの脆弱性研究者であるHaifei Li氏によって発見され、CVE-2024-21413として追跡されているこの欠陥は、脆弱なOutlookのバージョンを使用して悪意のあるリンクが記載された電子メールを開く際に、不適切な入力検証によって引き起こされる。
この欠陥により、攻撃者は、保護されたビュー(読み取り専用モードで開くことにより、Officeファイルに埋め込まれた有害なコンテンツをブロックする必要がある)を回避し、悪意のあるOfficeファイルを編集モードで開くことができるため、リモートでコードを実行する能力を得ることができます。
マイクロソフトは、1年前にCVE-2024-21413のパッチを適用した際にも、プレビュー・ペインが攻撃経路になることを警告しており、悪意を持って作成されたOffice文書をプレビューしている場合でも、この脆弱性を悪用される可能性があります。
チェック・ポイントの説明によると、このセキュリティ上の欠陥(「Moniker Link」と呼ばれている)は、File://プロトコルを使用して電子メールに埋め込まれた悪意のあるリンクに対するOutlookの内蔵プロテクトを回避し、攻撃者が管理するサーバを指すURLに感嘆符を追加することを可能にするものです。
感嘆符は、以下のように、ファイル拡張子の直後にランダムなテキスト(チェック・ポイントの例では「something」)とともに追加されます:
*<a href="file:///testtest.rtf!something">CLICK ME</a>*
CVE-2024-21413は、Microsoft Office LTSC 2021、Microsoft 365 Apps for Enterprise、Microsoft Outlook 2016、Microsoft Office 2019を含む複数のOffice製品に影響を及ぼし、CVE-2024-21413の攻撃が成功すると、悪意を持って細工されたOfficeドキュメントを介してNTLM認証情報が盗まれ、任意のコードが実行される可能性がある。
木曜日、CISAはこの脆弱性をKnown Exploited Vulnerabilities (KEV)カタログに追加し、積極的に悪用されているものとしてマークした。BOD(Binding Operational Directive)22-01で義務付けられているように、連邦政府機関は2月27日までに3週間以内にネットワークのセキュリティを確保しなければならない。
「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とサイバーセキュリティ機関は警告している。
CISAは主に、できるだけ早くパッチを適用すべき脆弱性について連邦政府機関に警告を発することに重点を置いているが、民間組織もまた、進行中の攻撃を阻止するために、これらの欠陥に優先的にパッチを適用するよう勧告されている。
Comments