Outlook の脆弱性 CVE-2023-35384／CVE-2023-36710：連鎖によるゼロクリック攻撃が可能

Microsoft Outlook Zero-Click Security Flaws Triggered by Sound File

2023/12/20 DarkReading — 今週に Akamai の研究者たちが公開したのは、Microsoft Outlook の２つの脆弱性の詳細だ。これらの脆弱性の連鎖を成功させた攻撃者は、影響を受けたシステム上で、ユーザーの操作なしで任意のコード実行が可能になる。珍しいことに、これらの脆弱性は、どちらもサウンド・ファイルを使って引き起こされる。

Akamai が詳細を公表した１つ目の脆弱性 CVE-2023-35384 は、Outlook の深刻な権限昇格の脆弱性 CVE-2023-23397 に対する２回目のパッチ・バイパスである。Microsoft は 2023年3月に CVE-2023-23397 のパッチをリリースしたが、この修正を回避する方法が、２度にわたって Akamai の研究者に発見された。

２つ目の脆弱性 CVE-2023-36710 は、Windows Media Foundation の機能におけるリモート・コード実行 (RCE) の脆弱性であり、Windows のサウンド・ファイルの解析処理に関連している。

Akamai は 12月18日に公開したレポートで、「インターネット上の攻撃者は、これらの脆弱性を連鎖させることで、Outlook クライアントに対する完全なゼロクリック・リモート・コード実行 (RCE) エクスプロイトの作成が可能になる」と述べている。

脆弱性の連鎖による任意のコード実行

Akamai の研究者たちからの報告を受けた Microsoft は、2023年8月に CVE-2023-35384 に対するパッチを発表した。この脆弱性は、ローカルマシン・ゾーン／イントラネット・ゾーンなどの信頼されたゾーンに、リクエストされた URL があるかどうかを、Outlook のセキュリティ機能が適切に検証しないことに起因している。

Akamai によると、影響を受ける Outlook クライアントに対して、攻撃者がカスタム通知音付きのメール・リマインダーを送信することで、この脆弱性を誘発することができるという。同社は、「攻撃者が UNC パスを指定することで、安全なゾーンや信頼されたゾーンからではなく、インターネット上のあらゆる SMB サーバからサウンド・ファイルを取得するようになる」と説明している。

２つ目の脆弱性の誘発を試みる攻撃者は、１つ目の脆弱性を悪用することで、自身で管理するサーバから悪意のサウンド・ファイルをダウンロードさせるための、細工されたメールを送信する必要がある。

Akamai は、「ダウンロードされたサウンド・ファイルが自動再生されると、被害者のマシン上でコードが実行される可能性がある」と述べている。

Akamai のセキュリティ研究者である Ben Barnea によると、この２つの脆弱性を個別に、あるいは連鎖的に、攻撃者は悪用できるという。彼は、「それぞれはやや “弱い” 脆弱性だが、Outlook に対して連鎖させることで、強力なゼロクリック RCE 脆弱性に至ることを発見した」とコメントしている。

パッチ、そして再びパッチ

前述の通り、Outlook の権限昇格の脆弱性 CVE-2023-23397 について、Microsoft が３月に発行したパッチを回避する方法を、Akamai の研究者たちが発見したのは、今回で２度目となる。このオリジナルの脆弱性により、攻撃者はサウンド・ファイルを使用してユーザーのパスワード・ハッシュを盗み出し、そのユーザーがアクセスするサービスの認証を得ることになる。最近では、12月4日に、ロシアの Russia’s Fancy Bear (別名：Forest Blizzard) が、この脆弱性陥を積極的に悪用して、Exchange サーバのメール・アカウントに不正アクセスしていると、Microsoft が警告していた。

Microsoft の１つ目のパッチは、Outlook がカスタム通知リマインダーを含むメールを処理する前に、まずサウンド・ファイルの URL の安全性を確認するよう求めるものだった。このパッチは、カスタム通知サウンドの URL が、信頼／検証されていないドメインから持ち込まれた場合に、その代わりとして Outlook のデフォルトの通知サウンドが使用されるよう設計されていた。

しかしその後に、このパッチを調査していた Akamai  の研究者たちが、Microsoft のアップデートの関数に１文字追加するだけで、パッチを回避できることを発見した。Akamai からの報告を受けた Microsoft は、 この問題を別の CVE (CVE-2023-29324) に割り当て、５月にパッチを発行した。

今週になって、Akamai が発表した新たなバイパスも、元のパッチに存在する問題に起因するものである。ただし、このパッチに起因する問題が、これで最後になるとは限らない。

Barnea は、「オリジナルの脆弱性に対するパッチでは、カスタム・リマインダー・サウンド機能の悪用を軽減するために、”MapUrlToZone” と呼ばれる関数を使用していた。この関数は複雑なものであり、攻撃者が利用できる攻撃対象が増えている。つまり、このパッチにより、脆弱性を持つコードが追加されてしまっている。私たちは、パッチを使用する代わりに、悪用された機能を削除することを提案した」と述べている。

この Outlook の脆弱性 CVE-2023-23397 は、各種の調査結果において Top-10 に入っていると思われるほど。2023年を代表する脆弱性のひとつだったと思います。2023/12/20 の「2023年の脆弱性は 26,447件：悪用に至ったものは１％に過ぎない – Qualys」で、一次ソースとされている 2023 Threat Landscape Year in Review でも、Top-10 にランク入りしていました。Akamai とMicrosoft の間の、考え方の違いが、とても興味深いです。よろしければ、Outlook で検索も、ご利用ください。