Outlook のゼロデイ脆弱性 CVE-2023-23397：突出した危険度に要注意

Microsoft Outlook Vulnerability Could Be 2023’s ‘It’ Bug

2023/03/18 DarkReading — 先日に Microsoft は、積極的に悪用されている Outlook のゼロデイ脆弱性 CVE-2023-23397 にパッチを適用した。この脆弱性の悪用に成功した攻撃者は、権限昇格を実行し、被害者の Net-NTLMv2 チャレンジ・レスポンス認証ハッシュにアクセスし、ユーザーになりすますことが可能だ。現時点において、CVE-2023-23397 は、今年に入って発生したバグの中で、最も広範囲に影響を及ぼす危険なものだと判明し、セキュリティ研究者たちは警告を発している。わずか３日前に公開されたばかりだが、数多くの PoC エクスプロイトが登場している。悪用する際に、ユーザーの操作が必要ないという点からも、犯罪者の関心が大きく高まることは間違いない。

パッチを直ちに適用できない場合には、末尾の対処法を参照してほしい。

ユーザー操作の必要がない、簡単なエクスプロイト

この脆弱性により、攻撃者は悪意の Outlook ノートやタスクを被害者に送信することで、NTLM 認証ハッシュを盗み出せる。それらのノートやタスクは、Outlook クライアントにより取得／処理される際に自動的にトリガーを引くため、Eメールがプレビューペインで表示される前にエクスプロイトが発生する可能性がある。つまり、攻撃対象者が Eメールを開かなくても、攻撃を受けてしまう可能性があるということだ。

このバグは、ウクライナの CERT (Computer Emergency Response Team) の研究者たちと Microsoft の研究者たちにより発見され、Microsoft の Patch Tuesday アップデートの一部として、今週の初めにパッチが適用された。ただし、影響を受けるのは Windows のみであり、Android／iOS／Mac／Outlook for Web (OWA) は対象とされていない。

OccamSec の創設者／CEO である Mark Stamfordは、「外部の攻撃者は、特別な細工をしたEメールを送信し、攻撃者のコントロールする外部の UNC ロケーションに、被害者を接続させる可能性がある。それにより、被害者の Net-NTLMv2 ハッシュが攻撃者に漏れ、それを別のサービスに中継する攻撃者は、前述の被害者として認証をパスする」と説明している。

悪用される可能性のある影響の範囲

Foretrace の創設者／CEO である Nick Ascoli は、「この攻撃において Net-NTLMv2 ハッシュ が悪用された方式について、Microsoft は言及していない。しかし、盗んだ認証を再利用して、ネットワーク経由で他のコンピュータに接続し、横移動することが可能だ。被害者の権限次第では、データの流出からマルウェアのインストールまで、さまざまな攻撃が可能のなる」と述べている。

また、Viakoo の CEO である Bud Broomhead は、「考えられる被害者は、BEC (Business Email Compromise) などの悪用の形態において、自分の ID が使われる可能性が最も高い人たちだ」と指摘している。

彼は、「この攻撃方式は、いくつかの領域に影響するだろう。最も深刻なのは、ID 管理と社内 Eメール通信の信頼性である。コア IT システムの侵害／マルウェアの配布／金銭的利益を目的とした、ビジネスEメールの漏洩および、オペレーションや事業継続の中断などのリスクもある」と警告している。

2023年の主要なバグになるのか？

Viakoo の Broomhead は、「2023年3月の時点では、今後も Microsoft から、深刻なバグが発生する可能性が大きいが、このバグが今年の突出したバクになることに間違いはない。このバグは、あらゆる種類と規模の組織に影響を与え、破壊的なパワーを持つが、従業員を訓練しても止められないため、緩和と修復に大きな努力を必要とする、脆弱性になる可能性がある」と説明している。

Broomhead は攻撃対象について、少なくともデスクトップ Outlookのユーザー・ベース (大規模) ／Windows 365 に接続されたコア IT システム (非常に大規模) ／Outlook で送信されたEメールの受信者 (ほぼ全員) と、同じ規模になる可能性があると指摘している。

そして、前述のように、PoC が出回っていることが、サイバー犯罪者にとって、この状況をより魅力的なものにしている。

Hornetsecurity の CEO である Daniel Hofmann は、「脆弱性は公開されており、PoC のための指示も十分に文書化されている。したがって、脅威アクターたちはマルウェア・キャンペーンに、この脆弱性を採用し、より広範囲をターゲットにするかもしれない。全体として、脆弱性の悪用は簡単であり、また、PoC に関しては、GitHub などのオープン・フォーラムで簡単に見つけられる」と付け加えている。

企業は何をすべきなのか？ Broomhead は、「この場合、Eメールシステムと、その中のユーザー設定に混乱をきたすため緩和は困難だ。パッチを当てるだけでは済まないかもしれない」と警告している。

CVE-2023-23397 から保護するには

Hornetsecurity の Hofmann は、「直ちにパッチを適用できない場合には、境界ファイアウォール／ローカル・ファイアウォール／VPN 設定などを使って、ネットワークからインターネットへの TCP 445/SMB outbound トラフィックをブロックする必要がある。このアクションは、リモートファイル共有への NTLM 認証メッセージの送信を防ぎ、CVE-2023-23397 への対処に役立つ」と説明している。

また、ユーザー組織は、Active Directory の “Protected Users Security Group” にユーザーを追加して、認証メカニズムとしての NTLM を防止する必要があるBroomhead は、「この方法は、NTLM を無効にする他の方法と比較して、トラブルシューティングを簡素化できる。ドメイン管理者のような高価値のアカウントには特に有効だ」と述べている。

また、彼は管理者に対して、「Microsoft が提供しているスクリプトを適用して、脆弱性の影響の有無を判断し、それを修復するよう助言する。このスクリプトは、メッセージのプロパティに UNC パスが含まれる Exchange メッセージを特定し、クリーンアップ／削除するものだ」と説明している。

訳していて、とても気の重くなる脆弱性トピックです。Outlook をお使いの企業ユーザーの方々は、お気をつけください。2023/03/14 の「Microsoft Outlook のゼロデイ CVE-2023-23397 が FIX：直ちにパッチ適用を！」でも、この件を紹介していますが、分析が進んだことで、また、PoC エクスプロイトが登場したことで、その時よりも深刻度が増してきているようです。